Влияет ли изменение конфигурации сервера openvpn на уже выданные сертификаты?

К вашему первому вопросу о сертификатах:

Изменение подсети не повлияет на существующие сертификаты.

На второй вопрос о статических клиентах:

Это зависит от ваших настроек.

Согласно man-странице openvpn:

 For example, --server 10.8.0.0 255.255.255.0 expands as follows:

 mode server
 tls-server
 push "topology [topology]"

 if dev tun AND (topology == net30 OR topology == p2p):
   ifconfig 10.8.0.1 10.8.0.2
   if !nopool:
     ifconfig-pool 10.8.0.4 10.8.0.251
   route 10.8.0.0 255.255.255.0
   if client-to-client:
     push "route 10.8.0.0 255.255.255.0"
   else if topology == net30:
     push "route 10.8.0.1"

 if dev tap OR (dev tun AND topology == subnet):
   ifconfig 10.8.0.1 255.255.255.0
   if !nopool:
     ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0
   push "route-gateway 10.8.0.1"
   if route-gateway unset:
     route-gateway 10.8.0.2

Если вы измените свою подсеть, правильные маршруты будут отправлены вашим клиентам автоматически.

Если вы используете dev tun с участием topology subnet и явно нажать ifconfig своим клиентам, вам также необходимо обновить маску подсети там, например, в конкретном файле конфигурации клиента клиента с IP 10.8.0.2:

ifconfig-push 10.8.0.2 255.255.0.0

В этом сценарии, когда статический IP-адрес настроен в файле конфигурации на стороне клиента, вам необходимо обновить там маску подсети:

ifconfig 10.8.0.2 255.255.0.0

Некоторые общие замечания:

Альтернативой может быть создание отдельного экземпляра openvpn с новым файлом конфигурации, обслуживающим дополнительную подсеть / 24:

server 10.8.1.0 255.255.255.0

Это могло бы быть лучше с точки зрения производительности, как описано Вот. Хотя второй экземпляр должен будет прослушивать отдельный порт и если тебе нужно подсеть в подсеть подключения, вам также необходимо протолкнуть маршруты к другим подсетям vpn.