更改 openvpn 服务器配置会影响已颁发的证书吗?

更改 openvpn 服务器配置会影响已颁发的证书吗?

我们有一个正在运行的 OpenVPN 服务器,其中定义了一些静态客户端并颁发了证书。

然而,随着时间的推移,很明显当前可用的 IP 池是不够的。

我们可以将服务器上的配置更改为类似以下内容:

server 10.8.0.0 255.255.0.0

把10.8整个打开。B 类来解决这个问题,但我不确定这是否会影响我们现有的 ovpn 证书或静态客户端?

答案1

关于证书的第一个问题:

更改子网不会影响现有证书。

关于静态客户端的第二个问题:

这取决于您的设置。

根据 openvpn 手册页:

 For example, --server 10.8.0.0 255.255.255.0 expands as follows:

 mode server
 tls-server
 push "topology [topology]"

 if dev tun AND (topology == net30 OR topology == p2p):
   ifconfig 10.8.0.1 10.8.0.2
   if !nopool:
     ifconfig-pool 10.8.0.4 10.8.0.251
   route 10.8.0.0 255.255.255.0
   if client-to-client:
     push "route 10.8.0.0 255.255.255.0"
   else if topology == net30:
     push "route 10.8.0.1"

 if dev tap OR (dev tun AND topology == subnet):
   ifconfig 10.8.0.1 255.255.255.0
   if !nopool:
     ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0
   push "route-gateway 10.8.0.1"
   if route-gateway unset:
     route-gateway 10.8.0.2

如果您更改子网,正确的路由将自动推送给您的客户端。

如果您使用dev tunwithtopology subnet并明确推ifconfig送到您的客户端,您还必须在那里更新子网掩码,例如在具有 IP 的客户端的特定客户端配置文件中10.8.0.2

ifconfig-push 10.8.0.2 255.255.0.0

在这种情况下,当在客户端配置文件中配置静态 IP 时,您必须在那里更新子网掩码:

ifconfig 10.8.0.2 255.255.0.0

一些一般性评论:

另一种方法是创建一个单独的 openvpn 实例,并使用新的配置文件为额外的 /24 子网提供服务:

server 10.8.1.0 255.255.255.0

正如所解释的那样,这在性能方面可能会更好这里。虽然第二个实例需要监听独立端口如果你需要子网到子网连接,您还必须将路由推送到其他 vpn 子网。

相关内容