从 Openvpn-Acess 服务器切换到社区版的简单方法?

Che*_*603 6 vps openvpn 12.04

我最近在 vps 上安装了 OpenVpn-Access 服务器,它很棒。然而,现在我开始运行它,我想切换到社区版,因为我不想处理购买许可证的问题,而且我认为 CE 会做我需要的一切。我想知道是否有人知道是否有一种简单的方法可以从 AS 切换到 CE 并保留我当前的配置设置,而无需重新安装整个设备并重新生成密钥和证书?任何帮助将不胜感激。

Che*_*603 7

这是一个老问题,但我想回答它,以防其他人试图做同样的事情。从OpenVPN-AS切换到社区版并保持配置不变,需要在新的社区版server.conf文件中引用Access Server上使用的server.crt、server.key、dh.pem、ca.crt 。由于AS默认使用pam认证进行双重认证,所以新的CE服务器也必须这样配置。这些行需要添加到 server.conf 中:

plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so openvpn
Run Code Online (Sandbox Code Playgroud)

然后/etc/pam.d/openvpn需要创建文件,包含以下几行:

auth       sufficient   /lib/security/pam_radius_auth.so debug
account    sufficient    /lib/security/pam_radius_auth.so
Run Code Online (Sandbox Code Playgroud)

在 AS 生成的配置中定义的任何其他选项也需要在 server.conf 文件中引用(例如端口号、proto、com-lzo、密码等)。由于在使用访问服务器时我无法弄清楚这些文件的存储位置或方式,我选择简单地卸载 openvpn-as,然后重新开始。

总之,我决定从头开始重新构建配置,因为它更容易,而且自己学习如何正确部署社区版 openvpn 服务器也很有意义。我选择不使用 PAM 身份验证,而是使用 easyrsa3 来设置服务器和客户端证书,使用单独的机器作为证书颁发机构以增强安全性。我还使用了 tls auth 选项(结合了“ta.key”,作为 HMAC 防火墙来帮助防止拒绝服务攻击)。

我对任何想要从 Access Server 切换到 Community Edition 的人的建议是从头开始,卸载 AS 并安装openvpn包,生成新的证书和密钥,最重要的是,使用单独的机器来签署证书请求。