服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 是否可以使用Open VPN双重身份validation(用户/通行证或客户端证书)?
Intereting Posts
什么涉及获取域名指向我的专用服务器(Win2008)? Docker Compose指定.docker目录? 允许私人访问共享托pipe服务器上的Git Oracle调优优化器索引成本调整和优化器索引caching 在FreeIPA / RedHat IdM中限制读取自身的LDAP属性 保持EBS数据同步 AWS MarketPlace Centos7图像中缺less防火墙 无法访问某些子域名网站? DNS NSEC3的问题? 这些天使用Microsoft WINS nameservice有多广泛? “百分比MFT在使用”的意义是什么? 执行密钥协商时,ssh发送了什么? Debian:如何在不升级依赖的情况下使用“apt-get install”? 将IT基础架构和开发虚拟机混合到同一台物理机器中是一个坏主意吗? 活动目录auth到comprimised机器? 界面收集成功的远程备份状态

是否可以使用Open VPN双重身份validation(用户/通行证或客户端证书)?

我正在为使用OpenVPN的多个办公室build立一个VPNnetworking。 这是双重目的:

  1. 局域网到局域网的VPN允许stream量在办公室之间无缝路由。
  2. 允许用户在不在办公室时连接到networking。

这导致需要两个单独的authentication机制:

  1. 局域网到局域网的客户端证书
  2. 单一login用户/密码(无客户端证书)

根据文件:

  • auth-user-pass-verify将要求每个用户提供客户端证书和用户/密码
  • auth-user-pass-verifyclient-cert-not-required将只client-cert-not-required用户/密码

问题:如何configurationOpen VPN以仅使用用户名和密码对客户端证书和其他客户端进行身份validation?

道歉回答我自己的问题。 我看的越多,就越清楚,在同一个盒子上运行两个独立的OpenVPN实例是正确的答案。 对于局域网到局域网,我打算处理使用RIP2的路由。 对于客户来说这是不合适的。

所以这些选项在很多方面都会有所不同:

  • RIP显然是我必须对用户进行防火墙防止他们上网的东西。 两个单独的openvpn实例将在两个独立的内部(VPN)子网上运行,并且在它们之间更容易防火墙。

  • 问题中提到的不同身份validation机制意味着auth-user-pass-verifyclient-cert-not-required将用于用户,而不用于LAN到LAN

  • client-to-client是用户可以接受的。 实际上没有什么好的理由来防止这种情况发生,因为当相同的用户碰巧在办公室时,这是不可能的。 然而, client-to-client会在RIP2中产生奇怪的结果。

  • push "redirect-gateway def1 bypass-dhcp"对用户来说是合适和必要的。 因为他们不RIP,他们将需要通过VPN服务器发送一切,并允许它正确的路由。 我无法想象将这种局域网连接到局域网所产生的地狱。