在查阅了两篇文章后,我尝试在两台始终从两个不同网络连接的机器之间建立网络路由: https://community.openvpn.net/openvpn/wiki/RoutedLans OpenVPN 中的路由问题
我还剩下三个问题:
- 如何\在哪里设置“客户端名称” - 以便使用 iroute 行添加他们的 CCD 文件夹(或者是否可以在日志中查看客户端默认“给自己”的名称)
- 假设只能使用证书,是否可以为没有证书的任何客户端创建 CCD 文件夹?(有点像默认客户端,除非正在使用证书)
- 正如两篇文章所建议的那样,我的 openvpnfolder 中没有 ccd 文件夹,我可以自己创建它吗?
Linux@OpenVpn1:~$ cd /etc/openvpn/
easy-rsa/ 原始/
我尝试严格按照这两篇文章的内容进行操作,但似乎遗漏了一些东西,我本来想自己尝试创建文件夹,但如果不知道客户端名称(或如何设置),那么创建文件夹就没有任何意义。
请协助。
答案1
如何\在哪里设置“客户端名称” - 以便使用 iroute 行添加他们的 CCD 文件夹(或者是否可以在日志中查看客户端默认“给自己”的名称)
正如@所回答的那样迈克尔·汉普顿,客户端名称是客户端证书的 CN(例如/CN=Bob Smith/O=Evil Corp/OU=White cat wrangling and storage
将匹配的 CCD 配置Bob Smith
)。
假设只能使用证书,是否可以为没有证书的任何客户端创建 CCD 文件夹?(有点像默认客户端,除非正在使用证书)
如果只能使用证书,那么我不确定这种情况会如何适用。我怀疑最好的方法是运行两个服务器,一个需要使用证书,另一个不需要。例如,您可以对一个使用 TCP,对另一个使用 UDP(或不同的端口)。另一个选项是拥有一个可重复使用的默认证书(但您需要在 openVPN 服务器上启用它(--duplicate-cn
)。
我知道的唯一办法是不是需要证书涉及添加--client-cert-not-required
到服务器选项,这允许任何用户只能使用密码。如果可能的话,我会重新考虑这个要求。
不过,你可以为没有 CCD 配置的用户提供默认配置(https://openvpn.net/index.php/open-source/documentation/manuals/openvpn-20x-manpage.html对于--client-config-dir)
如果未找到匹配的文件,OpenVPN 将尝试打开并解析名为“DEFAULT”的默认文件,该文件可能会提供但不是必需的。
正如两篇文章所建议的那样,我的 openvpnfolder 中没有 ccd 文件夹,我可以自己创建它吗?
你可以,而且你可以通过提供完全限定的路径来避免任何混淆。例如client-config-dir /etc/openvpn/domain-ccd
。