允许特定的OpenVPN客户机访问其他客户端

Question

我有多个OpenVPN服务器，它们有像从-1和从-2这样的客户机，它们只能访问OpenVPN服务器本身。我有一个专用的CA服务器，用于为系统创建新用户。我想要实现对用户的支持，如master-1和master-2，它们可以访问从客户机。

我读到，如果我在OpenVPN上启用客户端到客户端，我不能使用防火墙，因为客户端到客户端的网络将在OpenVPN内部完成，而不会到达主机层。

我读到，我可以使用client-config-dir和证书公共名称为server.conf创建特定于客户端的修改，但是我无法找到使用诸如"master-*“这样的前缀进行修改的方法。

为了开始解决这个问题，我尝试通过在OpenVPN服务器上运行以下命令，允许所有客户端之间的所有网络连接，而无需在OpenVPN上启用客户端对客户端的连接：

echo 1 > /proc/sys/net/ipv4/ip_forward
sudo iptables -I FORWARD --src 10.8.0.0/24 --dst 10.8.0.0/24 -j ACCEPT

OpenVPN客户端上的以下命令：

sudo ip route del 10.8.0.1/32 via 10.8.0.53
sudo ip route add 10.8.0.0/24 via 10.8.0.53 dev tun0

此后，OpenVPN客户端仍然无法连接到其他客户端。

Answer 1

这是通过适当的iroute指令设置通过"CCD“机制(每个客户端配置位)。

有关更多信息，请参见这。