我正在使用 OpenVPN 为多个办公室设置 VPN 网络。这是双重目的:
- LAN 到 LAN VPN 允许在办公室之间无缝路由流量。
- 允许用户在外出时连接到网络。
这导致需要两种单独的身份验证机制:
- LAN 到 LAN 的客户端证书
- 用户的单点登录用户/密码(无客户端证书)。
根据文档:
auth-user-pass-verify单独将要求每个用户提供客户证书和用户/密码auth-user-pass-verify并且client-cert-not-required只需要用户/密码
问题: 如何配置 Open VPN 以仅使用客户端证书对某些客户端进行身份验证,而仅使用用户/密码对其他客户端进行身份验证?
很抱歉回答我自己的问题。我看的越多,就越清楚在同一个盒子上运行两个独立的 OpenVPN 实例是正确的答案。对于 LAN 到 LAN,我计划使用 RIP2 处理路由。对于客户来说,这是不合适的。
因此,选项在许多方面会有所不同:
RIP 显然是我必须对用户设置防火墙以防止他们阻塞网络的东西。两个独立的 openvpn 实例将在两个独立的内部 (VPN) 子网上运行,并且更容易在它们之间设置防火墙。
问题中提到的不同身份验证机制意味着
auth-user-pass-verify并将client-cert-not-required用于用户而不是 LAN 到 LANclient-to-client用户可以接受。确实没有很好的理由来阻止这种情况,因为当相同的用户碰巧在办公室时,它不允许任何不可能的事情发生。然而client-to-client,使用 RIP2 会产生奇怪的结果。push "redirect-gateway def1 bypass-dhcp"对用户来说是适当和必要的。因为他们不 RIP,所以他们需要通过 VPN 服务器发送所有内容并允许其正确路由。我无法想象通过启用 LAN 到 LAN 会产生什么地狱。