我们已经运行了一个正在使用的OpenVPN服务器,并且定义了许多静态客户端并颁发了证书。
但是,随着时间的推移,目前可用的IP池已经不够用了。
我们可以将服务器上的configuration更改为如下所示:
server 10.8.0.0 255.255.0.0 打开整个10.8。 。 B类来解决这个问题,但是我不确定是否会影响我们现有的ovpn证书或静态客户端?
关于证书的第一个问题:
更改子网不会影响现有的证书。
关于静态客户端的第二个问题:
这取决于你的设置。
根据openvpn的manpage:
For example, --server 10.8.0.0 255.255.255.0 expands as follows: mode server tls-server push "topology [topology]" if dev tun AND (topology == net30 OR topology == p2p): ifconfig 10.8.0.1 10.8.0.2 if !nopool: ifconfig-pool 10.8.0.4 10.8.0.251 route 10.8.0.0 255.255.255.0 if client-to-client: push "route 10.8.0.0 255.255.255.0" else if topology == net30: push "route 10.8.0.1" if dev tap OR (dev tun AND topology == subnet): ifconfig 10.8.0.1 255.255.255.0 if !nopool: ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 push "route-gateway 10.8.0.1" if route-gateway unset: route-gateway 10.8.0.2
如果你改变你的子网,正确的路由将被自动推送到你的客户端。
如果使用topology subnet dev tun并明确地将ifconfig推送到客户端,则还必须在那里更新子网掩码,例如,在IP 10.8.0.2客户端的特定客户端configuration文件中:
ifconfig-push 10.8.0.2 255.255.0.0
在这种情况下,当在客户端configuration文件中configuration静态IP时,必须在其中更新子网掩码:
ifconfig 10.8.0.2 255.255.0.0
一些一般的评论:
另一种方法是创build一个单独的openvpn实例,并使用一个新的configuration文件服务于一个额外的/ 24子网:
server 10.8.1.0 255.255.255.0
如此处所解释的, 这对于性能来说可能更好。 尽pipe第二个实例需要在单独的端口上侦听,并且如果需要子网连接到子网 ,还必须将路由推送到其他vpn子网。