Компания, в которой я работаю, имеет единственный сайт (я буду называть его «Сайт А»). На сайте A есть несколько частных сетей. У нас есть работающий экземпляр OpenVPN, который позволяет некоторым сотрудникам подключаться к одной из частных сетей на сайте A.
Мы планируем расширить наши возможности на другой сайт (который я буду называть «сайтом B»), и мы хотим соединить оба сайта с помощью OpenVPN. VPN, которая будет соединять сайты A и B, будет магистральным каналом, то есть у него будет доступ ко всем сетям. Если мы используем один и тот же центр сертификации для обоих серверов VPN, это позволит сотрудникам, которые могут подключаться только к одной из частных сетей в пределах сайта A, подключаться к ссылке «сайт-сайт», что даст им доступ ко всем сетям. . Конечно, это нежелательно.
Использование двух разных центров сертификации кажется очевидным решением, но кажется неправильным. Мне интересно, есть ли способ поддерживать контроль разрешений в рамках одного центра сертификации.
Используйте эксклюзивную опцию ccd на сайте для сайта VPN. Это приведет к тому, что сервер отклонит клиентов, у которых нет записи в каталоге ccd.