我正在开发基于Linux平台的软件设备。 我想要一个安全的方式,通过Internet访问每个安装的设备,以进行远程debugging和支持。 为了遍历NAT并能够简单地连接到设备,我正在考虑将OpenVPN作为解决scheme。 问题在于我无法使用设备映像发送单个证书,并且让所有人都连接到它,因为openvpn不允许每个证书有多个会话。
另一个问题是VPN客户端之间的隔离,以便一个客户端将无法连接到另一个客户端。 那怎么能实现 谢谢
如果使用–duplicate-cnconfiguration服务器,您可以生成OpenVPN客户端证书来构build映像。 然后,您可以与设备build立联网,并可以获得使用真正的CA签名的新证书或任何您想要执行的操作。在每台设备上继续使用默authentication书运行可能不是一个好主意。
Miredo的想法是正交的……这可能很有可能帮助你连接起来,因为Miredo可以通过许多OpenVPN无法做到的NAT。
你确定你确实希望这个产品能无条件地为你打开吗? 在第一次启动时不应该是一些易于访问的function吗? 当用户/客户想要获得支持渠道时,可以通过电子邮件发送证书,使用公钥encryption(因此只有您的密钥可以解密并保存到VPN服务器)。
在您的结尾,应该很容易地匹配这些电子邮件并自动处理它们。
尝试Miredo为每个设备提供全局可路由的IPv6号码。 添加一个dynamic的DNS,或者你自己的注册数据库,你很好。
但是第二个想法是,在第一次运行时为OpenVPN生成客户端证书可能会更简单。