В административных целях некоторые люди из административной группы используют один и тот же ключ к серверу, и иногда бывает, что один из них уже подключен к серверу, когда другой также пытается подключиться. Поэтому, когда другой член команды пытается подключиться, это приводит к периодам отключений / подключений для них обоих. Как избежать отключения первого клиента? Когда второй пытается подключиться, желательно получить сообщение о том, что клиент с тем же ключом вошел в систему, поэтому его доступ отменяется.
Я не хочу, чтобы была включена дублирующая сертификация. Мы не создавали несколько ключей для каждого члена команды, так как участие других членов команды происходило / происходит спонтанно, и они не будут использовать ключи регулярно, им просто нужно было внести некоторые исправления, небольшие проекты. Также мы хотели бы иметь только один ключ для нашего администратора, но иногда кому-то еще из наших команд также необходимо подключиться, поэтому ему нужен доступ, это решается путем передачи наших ключей людям, у которых есть работа на сервере. Кроме того, наша внутренняя политика доверия наших клиентов не позволяет нам создавать больше ключей, чем один для администратора и другие для клиентов.
Я читал этот вопрос несколько раз, пытаясь убедиться, что понимаю его. Вы уже знаете о --duplicate-cn
, и вы не хотите этого допускать.
Мне кажется, что ты фактически спрашиваю "как мне настроить OpenVPN, чтобы, когда второй клиент пытается подключиться, используя уже подключенный набор ключей, это новее клиент, которому отказано, а не старшая отключен, а более новый разрешен в.
Если это то, что вы хотите знать, ответ (насколько я знаю) ты не можешь. В причина потому что люди действительно получают отключенные сеансы, и вы хотите, чтобы они могли повторно подключиться, как только их доступ к Интернету вернется, вместо того, чтобы ждать - возможно, в течение часа или более - пока их сиротский сеанс истечет и будет пожат .
Вы можете перекомпилировать OpenVPN самостоятельно, внося желаемые изменения, но я бы не советовал этого делать. Лучше использовать такой инструмент, как swatch, для просмотра журналов OpenVPN в режиме реального времени, когда он видит подписи дублированного отключения:
Mar 14 08:48:16 rubicon openvpn[17250]: MULTI: new connection by client 'cn.redacted' will cause previous active sessions by this client to be dropped. Remember to use the --duplicate-cn option if you want multiple clients using the same certificate or username to concurrently connect.
он должен пометить вас как администратора сети, чтобы вы могли сообщить об этом заинтересованным людям.