Я настраиваю сеть VPN для нескольких офисов, используя OpenVPN. Это двойное назначение:
Это приводит к необходимости использования двух отдельных механизмов аутентификации:
По документации:
auth-user-pass-verify в одиночку потребует от каждого пользователя предоставить сертификат клиента и пользователя / парольauth-user-pass-verify и client-cert-not-required потребует только пользователя / парольВопрос: Как я могу настроить Open VPN для аутентификации некоторых клиентов с помощью только сертификата клиента, а других клиентов с помощью только пользователя / пароля?
Приносим извинения за ответ на мой собственный вопрос. Чем больше я смотрю на это, тем яснее становится, что запуск двух отдельных экземпляров OpenVPN в одном окне - правильный ответ. Для LAN to LAN я планирую разобраться с маршрутизацией с использованием RIP2. Для клиентов это не подходит.
Так что варианты будут отличаться по ряду пунктов:
RIP - это определенно то, что я должен защищать от пользователей, чтобы они не блокировали сеть. Два отдельных экземпляра openvpn будут работать в двух отдельных внутренних (VPN) подсетях, и между ними будет проще установить межсетевой экран.
Различные механизмы аутентификации, упомянутые в вопросе, означают, что auth-user-pass-verify и client-cert-not-required будет использоваться для пользователей, а не для LAN-LAN
client-to-client приемлемо для пользователей. На самом деле нет веской причины предотвращать это, поскольку это не допускает ничего невозможного, когда одни и те же пользователи находятся в офисе. тем не мение client-to-client приведет к странным результатам с RIP2.
push "redirect-gateway def1 bypass-dhcp" уместен и необходим пользователям. Поскольку они не RIP, им нужно будет отправить все через VPN-сервер и разрешить ему правильную маршрутизацию. Я не могу себе представить, какого черта это могло бы произойти, если бы это подключило LAN к LAN.