Простой способ перехода с Openvpn-Access Server на Community Edition?

Я недавно установил OpenVpn-Access Server на VPS, и это здорово. Однако теперь, когда я запустил его, я хочу переключиться на Community-Edition, потому что я не хочу заниматься покупкой лицензий и думаю, что C.E. сделает все, что мне нужно. Мне было интересно, если кто-нибудь знает, есть ли простой способ переключиться с AS на CE и сохранить мои текущие настройки конфигурации без необходимости переустанавливать все и заново создавать ключи и сертификаты? Любая помощь будет принята с благодарностью.

4
задан 19.05.2020, 14:22

1 ответ

Это - старый вопрос, но я хотел бы ответить на него в случае, если кто-то еще пытается сделать то же самое. Чтобы переключиться от OpenVPN-AS до выпуска сообщества и сохранить ту же конфигурацию, на server.crt, server.key, dh.pem, и ca.crt, используемый на Сервере доступа, нужно сослаться в новом файле выпуска server.conf сообщества. С тех пор по умолчанию, A.S. использует pam аутентификацию для двойной аутентификации, новый сервер C.E. должен быть настроен этот путь также. Эти строки должны быть добавлены к server.conf:

plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so openvpn

Тогда файл /etc/pam.d/openvpn должен быть создан с этими строками:

auth       sufficient   /lib/security/pam_radius_auth.so debug
account    sufficient    /lib/security/pam_radius_auth.so

Любые другие опции, определенные в A.S., на сгенерированную конфигурацию нужно сослаться в server.conf файле также (таком как номер порта, первичный, com-lzo, шифр, и т.д.). Так как я не мог выяснить, где или как те файлы хранятся при использовании сервера доступа, я решил просто удалить openvpn-как, и запуститься.

В заключение я решил восстановить конфигурацию с нуля, потому что это было легче, и также имело смысл изучать, как правильно развернуть выпуск сообщества openvpn сервер сам. Я решил не использовать аутентификацию PAM, и скорее использовать easyrsa3 для установки сервера и клиентских сертификатов, с помощью отдельной машины в качестве центра сертификации для повышенной безопасности. Я также использовал tls подлинную опцию (включающий 'ta.key' как брандмауэр HMAC, чтобы помочь предотвратить атаки "отказ в обслуживании").

Мой совет любому желающему переключаться от Сервера доступа до Выпуска Сообщества состоит в том, чтобы запуститься с нуля, удалить A.S. и установить openvpn пакет, генерировать новые сертификаты и ключи, и самое главное, использовать отдельную машину для подписания запросов сертификата.

3
ответ дан 19.05.2020, 14:23
  • 1
    О " используйте отдельную машину для подписания запросов " сертификата; Вы могли указать на меня на некоторые полезные документы? Так или иначе, большой ответ! – Yablargo 19.05.2020, 14:23
  • 2
    Несомненно, инструкции, что я использую, здесь: community.openvpn.net/openvpn/wiki/EasyRSA3-OpenVPN-Howto – Tilak 19.05.2020, 14:24

Теги

Похожие вопросы