我工作的公司有一个站点(我将把它称为“站点A”)。 在站点A中有几个专用networking。我们有一个OpenVPN的运行实例,它允许一些员工连接到站点A中的一个专用networking。
我们正计划将我们的设施扩展到另一个网站(我将其称为“网站B”),并且希望使用OpenVPN连接两个网站。 连接站点A到B的VPN将成为中继链路,这意味着它可以访问所有networking。 如果我们对两个VPN服务器使用相同的证书颁发机构,则这将允许只能连接到站点A中的一个专用networking的员工连接到站点到站点链接,这将允许他们访问所有networking。 当然,这是不可取的。
使用2个不同的证书颁发机构似乎是显而易见的解决scheme,但它不正确。 如果有一种方法可以在单一证书颁发机构中维护权限控制,
使用站点上的ccd-exclusive选项来站点VPN。 这将导致服务器拒绝在ccd目录中没有条目的客户端。