最近、OpenVpn-Access Serverをvpsにインストールしましたが、それは素晴らしいことです。しかし、ライセンスを購入したくないので、C.E。が必要なことをすべて行うと思うので、今は実行しています。コミュニティ版に切り替えたいと思います。 ASからCEに切り替えて、すべてを再インストールしてキーと証明書を再生成せずに現在の構成設定を維持する簡単な方法があるかどうかを誰かが知っているのだろうかと思っていましたか?どんな助けも大歓迎です。
これは古い質問ですが、他の誰かが同じことをしようとしている場合に備えて答えたいと思います。 OpenVPN-ASからコミュニティエディションに切り替えて同じ構成を維持するには、Access Serverで使用されるserver.crt、server.key、dh.pem、およびca.crtを新しいコミュニティエディションserver.conf
ファイルで参照する必要があります。デフォルトでは、A.S。デュアル認証にpam認証を使用する場合、新しいC.E.サーバーもこのように構成する必要があります。次の行をserver.confに追加する必要があります。
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so openvpn
次に、ファイル/etc/pam.d/openvpn
を次の行で作成する必要があります。
auth sufficient /lib/security/pam_radius_auth.so debug
account sufficient /lib/security/pam_radius_auth.so
A.S.で定義されているその他のオプション生成された構成は、server.confファイルでも参照する必要があります(ポート番号、プロト、com-lzo、暗号など)。アクセスサーバーを使用すると、これらのファイルがどこにどのように保存されているのかわからなかったため、単純にopenvpn-asをアンインストールして、最初からやり直すことにしました。
結論として、私は簡単に構成をゼロから再構築することにしました。また、コミュニティエディションのopenvpnサーバーを自分で適切に展開する方法を学ぶのも理にかなっています。 PAM認証を使用せず、easyrsa3を使用してサーバー証明書とクライアント証明書をセットアップし、セキュリティを強化するために認証局として別のマシンを使用することを選択しました。また、tls authオプション(サービス拒否攻撃を防ぐためのHMACファイアウォールとして「ta.key」を組み込む)も使用しました。
Access ServerからCommunity Editionに切り替えたい人への私のアドバイスは、ゼロから始めてA.Sをアンインストールすることです。 openvpn
パッケージをインストールし、新しい証明書とキーを生成します。最も重要なのは、証明書要求に署名するために別のマシンを使用することです。