Mehrere openvpn-Clients auf einem openvpn-Server

10

Kann ich mehrere openvpn-Clients haben, die eine Verbindung zu einem einzelnen openvpn-Server herstellen? Die folgende Einstellung eignet sich gut für einen einzelnen Benutzer

Dies ist die Serverkonfiguration (openvpn.conf)

port 1194
proto udp
dev tun
secret openvpn-key.txt
ifconfig 192.168.2.1 192.168.2.2
keepalive 10 120
comp-lzo
persist-key
persist-tun
status server-tcp.log
verb 3

Hier ist die Client-Konfiguration

dev tun
proto udp
remote HOSTNAME_IS_HERE 1194
resolv-retry infinite
nobind
secret openvpn-key.txt
ifconfig 192.168.2.2 192.168.2.1
comp-lzo
verb 3
dhcp-option DNS 172.16.0.23
redirect-gateway def1

etc / sysconfig

*nat
:POSTROUTING ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.2.0/24 -d 0.0.0.0/0 -o eth0 -j MASQUERADE
COMMIT

Die Dinge funktionieren gut, bis ein zweiter Benutzer versucht, eine Verbindung mit demselben VPN-Schlüssel usw. herzustellen. Wie erlaube ich mehreren Benutzern?

security vpn openvpn ServerDown
quelle
Siehe serverfault.com/questions/128132/…
Dieser Brasilianer

Antworten:

9

Ja, Sie können openvpn für mehrere Clients verwenden, aber Sie müssen eine CA-Berechtigung einrichten und jedem Client einen eindeutigen Schlüssel / ein eindeutiges Zertifikat ausstellen. Oder richten Sie die kennwortbasierte Authentifizierung ein und verwenden Sie die --duplicate-cnOption.

Zoredache
quelle
8

Ja, du kannst. Standardmäßig erlaubt der OpenVPN-Server nicht, dass mehrere Clients eine Verbindung mit demselben Zertifikat- / Schlüsselpaar herstellen. Jeder Client muss über ein eigenes Zertifikat / einen eigenen Schlüssel mit einem eindeutigen gemeinsamen Namen verfügen . Es ist jedoch mehreren Clients gestattet, mit demselben Zertifikat- / Schlüsselpaar eine Verbindung zum OpenVPN-Server herzustellen, wenn duplicate-cnin der Konfigurationsdatei des OpenVPN-Servers ein doppelter allgemeiner Name vorhanden ist .

user12457
quelle
0

Ich glaube, es ist in Ordnung, wenn jeder Client sein eigenes Zertifikat verwendet, was bedeutet, dass Sie jedem Client ein Zertifikat ausstellen müssen, das auf demselben gemeinsamen privaten Schlüssel basiert.

Es ist das Zertifikat, das die eigentliche Autorisierung darstellt, da OpenVPN keine Anmeldeinformationen enthält.

Jishi
quelle