forum.opennet.ru

Составление сообщения

Исходное сообщение

"openvpn объединение конфигураций и клиентов"
Отправлено SQ, 22-Ноя-22 00:07

> Добрый день всем!
> У нас происходит физическое объединение двух предприятий - съезжаемся в одно здание.
> И там, и там используем openvpn для различных нужд, в т.ч.
> и для доступа сотрудников в корпоративную сеть. В сумме абонентов около
> 150 человек. Можно как-то объединить конфигурации (ключи), чтобы не обходить всех
> переходящих сотрудников? Или надо перегенерировать ключи заново? Есть у кого опыт?
> Мне гугл пока не помог. Я пока не теряю надежды, перечитываю
> доку, но рецепта пока не нашёл. Спасибо заранее!
Есть несколько вопросов, в зависимости от которых ответ будет "да" или "нет".
1) Если в качестве ключей используются сертификаты от своих центров сертификации, то ключи перегенерировать не требуется. Вы в качестве корневого (доверенного) сертификата можете на сервере и на клиентах указать не один, а несколько. Вам придется всё-таки обновить конфигурацию, добавив второй корневой сертификат - ведь иначе половина сотрудников не будут "доверять" серверу (в зависимости от того, какой именно серверный сертификат вы оставите).
2) Если используются дополнительные возможности в части взаимодействия с клиентами (например, "привязка к конкретным адресам", наличие серверов и подсетей "за клиентами" и прочее) - надо это разбирать в частном порядке. Здесь надо смотреть по конкретным случаям.
3) Используется ли второй фактор авторизации (когда сервер запрашивает дополнительно пароль)
Рецепт "на минималках" может выглядеть примерно так. Это применимо, если у вас простая настройка и из пунктов 2 и 3 выше ничего вами не используется. Обозначим ca1.pem, server1.pem, server1.key, dh1.pem, client1.pem, client1.key - то, что относится к первой организации, а с цифрой 2 - то, что относится ко второй. Давайте решим, что мы оставляем на сервере сертификат от первой организации. Тогда:
0) Обязательный бекап конфигурации VPN.
1) Добавляем второй корневой сертификат в список доверенных: cat ca2.pem >> ca1.pem (обратите внимание на двойной знак >>) или можете просто объединить эти два файла в любом текстовом редакторе.
2) Полученный файл на сервере (ca1.pem), dh1.pem (им заменяем файл dh2.pem на клиентах - если используется настройка "dh" в конфигурации клиентов), новый адрес сервера (изменяем парамерт remote в конфигурациях клиентов) распространяем среди клиентов ВТОРОЙ компании
В реальной жизни этот путь я проходил больше 8 лет назад, поэтому мог что-то забыть.
P.S. Вы же можете, в принципе, просто второй VPN сервер просто разместить у себя и настроить маршрутизацию до ресурсов организации на втором сервере. Тогда вообще "клиентов" обходить не придется, а просто постепенно вместе с сертификатами всех клиентов переведете на общий сервер. Только емкость сети VPN увеличьте - 150 клиентов не поместятся в стандартную подсеть из 256 адресов, так как подключение каждого клиента требует себе два адреса.

Исходное сообщение
"openvpn объединение конфигураций и клиентов" Отправлено SQ, 22-Ноя-22 00:07
> Добрый день всем! > У нас происходит физическое объединение двух предприятий - съезжаемся в одно здание. > И там, и там используем openvpn для различных нужд, в т.ч. > и для доступа сотрудников в корпоративную сеть. В сумме абонентов около > 150 человек. Можно как-то объединить конфигурации (ключи), чтобы не обходить всех > переходящих сотрудников? Или надо перегенерировать ключи заново? Есть у кого опыт? > Мне гугл пока не помог. Я пока не теряю надежды, перечитываю > доку, но рецепта пока не нашёл. Спасибо заранее! Есть несколько вопросов, в зависимости от которых ответ будет "да" или "нет". 1) Если в качестве ключей используются сертификаты от своих центров сертификации, то ключи перегенерировать не требуется. Вы в качестве корневого (доверенного) сертификата можете на сервере и на клиентах указать не один, а несколько. Вам придется всё-таки обновить конфигурацию, добавив второй корневой сертификат - ведь иначе половина сотрудников не будут "доверять" серверу (в зависимости от того, какой именно серверный сертификат вы оставите). 2) Если используются дополнительные возможности в части взаимодействия с клиентами (например, "привязка к конкретным адресам", наличие серверов и подсетей "за клиентами" и прочее) - надо это разбирать в частном порядке. Здесь надо смотреть по конкретным случаям. 3) Используется ли второй фактор авторизации (когда сервер запрашивает дополнительно пароль) Рецепт "на минималках" может выглядеть примерно так. Это применимо, если у вас простая настройка и из пунктов 2 и 3 выше ничего вами не используется. Обозначим ca1.pem, server1.pem, server1.key, dh1.pem, client1.pem, client1.key - то, что относится к первой организации, а с цифрой 2 - то, что относится ко второй. Давайте решим, что мы оставляем на сервере сертификат от первой организации. Тогда: 0) Обязательный бекап конфигурации VPN. 1) Добавляем второй корневой сертификат в список доверенных: cat ca2.pem >> ca1.pem (обратите внимание на двойной знак >>) или можете просто объединить эти два файла в любом текстовом редакторе. 2) Полученный файл на сервере (ca1.pem), dh1.pem (им заменяем файл dh2.pem на клиентах - если используется настройка "dh" в конфигурации клиентов), новый адрес сервера (изменяем парамерт remote в конфигурациях клиентов) распространяем среди клиентов ВТОРОЙ компании В реальной жизни этот путь я проходил больше 8 лет назад, поэтому мог что-то забыть. P.S. Вы же можете, в принципе, просто второй VPN сервер просто разместить у себя и настроить маршрутизацию до ресурсов организации на втором сервере. Тогда вообще "клиентов" обходить не придется, а просто постепенно вместе с сертификатами всех клиентов переведете на общий сервер. Только емкость сети VPN увеличьте - 150 клиентов не поместятся в стандартную подсеть из 256 адресов, так как подключение каждого клиента требует себе два адреса.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Добрый день всем!
>> У нас происходит физическое объединение двух предприятий - съезжаемся в одно здание.
>> И там, и там используем openvpn для различных нужд, в т.ч.
>> и для доступа сотрудников в корпоративную сеть. В сумме абонентов около 
>> 150 человек. Можно как-то объединить конфигурации (ключи), чтобы не обходить всех 
>> переходящих сотрудников? Или надо перегенерировать ключи заново? Есть у кого опыт?
>> Мне гугл пока не помог. Я пока не теряю надежды, перечитываю 
>> доку, но рецепта пока не нашёл. Спасибо заранее!

> Есть несколько вопросов, в зависимости от которых ответ будет "да" или "нет".

> 1) Если в качестве ключей используются сертификаты от своих центров сертификации, то 
> ключи перегенерировать не требуется. Вы в качестве корневого (доверенного) сертификата 
> можете на сервере и на клиентах указать не один, а несколько. 
> Вам придется всё-таки обновить конфигурацию, добавив второй корневой сертификат - ведь 
> иначе половина сотрудников не будут "доверять" серверу (в зависимости от того, 
> какой именно серверный сертификат вы оставите).
> 2) Если используются дополнительные возможности в части взаимодействия с клиентами (например, 
> "привязка к конкретным адресам", наличие серверов и подсетей "за клиентами" и 
> прочее) - надо это разбирать в частном порядке. Здесь надо смотреть 
> по конкретным случаям.
> 3) Используется ли второй фактор авторизации (когда сервер запрашивает дополнительно пароль)

> Рецепт "на минималках" может выглядеть примерно так. Это применимо, если у вас 
> простая настройка и из пунктов 2 и 3 выше ничего вами 
> не используется. Обозначим ca1.pem, server1.pem, server1.key, dh1.pem, client1.pem, 
> client1.key - то, что относится к первой организации, а с цифрой 
> 2 - то, что относится ко второй. Давайте решим, что мы 
> оставляем на сервере сертификат от первой организации. Тогда: 
> 0) Обязательный бекап конфигурации VPN.
> 1) Добавляем второй корневой сертификат в список доверенных: cat ca2.pem >> ca1.pem 
> (обратите внимание на двойной знак >>) или можете просто объединить эти 
> два файла в любом текстовом редакторе.
> 2) Полученный файл на сервере (ca1.pem), dh1.pem (им заменяем файл dh2.pem на 
> клиентах - если используется настройка "dh" в конфигурации клиентов), новый адрес 
> сервера (изменяем парамерт remote в конфигурациях клиентов) распространяем среди клиентов 
> ВТОРОЙ компании

> В реальной жизни этот путь я проходил больше 8 лет назад, поэтому 
> мог что-то забыть.

> P.S. Вы же можете, в принципе, просто второй VPN сервер просто разместить 
> у себя и настроить маршрутизацию до ресурсов организации на втором сервере. 
> Тогда вообще "клиентов" обходить не придется, а просто постепенно вместе с 
> сертификатами всех клиентов переведете на общий сервер. Только емкость сети VPN 
> увеличьте - 150 клиентов не поместятся в стандартную подсеть из 256 
> адресов, так как подключение каждого клиента требует себе два адреса.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру