Как развернуть второй сервер OpenVPN на одном железе?

Question

[dmvlch_dev]

Имеется конфигурация OpenVPN сервера на Windows Server, необходимо развернуть еще одну конфигурацию на том же сервере, но с другим портом и интерфейсом.

Порт на роутере проброшен, в брандмауэре Windows правила прописаны.

Нужно просто скопировать и изменить конфиг и в контекстном меню вызвать пункт Start OpenVPN on this config file?
После этого вторая конфигурация должна заработать?

Процесс выпуска сертификатов пользователей не изменится после этого?

Все это понадобилось, потому что VPN допускает ограниченное количество подключений, нужно подключить больше пользователей.

Конфиг:
# Указываем порт, протокол и устройство
port 1194
proto tcp
dev tun
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\issued\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\private\\server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\dh.pem"
# Указываем настройки IP сети, адреса из которой будет будут получать VPN клиенты
server 10.24.1.0 255.255.255.0
push "route 10.24.1.0 255.255.255.0"
push "route 192.168.1.5 255.255.255.255"
#если нужно разрешить клиентам подключаться под одним ключом, нужвно включить опцию duplicate-cn (не рекомендуется)
#duplicate-cn
# TLS защита
tls-auth "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\ta.key" 0
cipher AES-256-GCM
# Другая параметры
keepalive 20 60
persist-key
persist-tun
status "C:\\Program Files\\OpenVPN\\log\\status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
max-clients 250
mute 20
windows-driver wintun

Прошу понять и простить за может быть неточную формулировку и за глупый вопрос, с настройкой и администрированием серверов никогда не сталкивался)

Comments

[Drno]

опенВПН не имеет ограничений на количество подключений. Вы его сами можете установить, исходя из указания подсети или лимита клиентов

да, достаточно изменить конфиг и запустить сервер с указанием нужного конфига

серт не изменятся, если Вы используете тот же корневой сертификат, что и для 1го сервера

[dmvlch_dev]

Drno, спасибо за ответ! Я так понял, что Windows имеет ограничение по количеству подключений. Сам OpenVPN ограничений не имеет.
Там еще надо добавить wintun через который будет идти новое соединение?
При запуске нового конфига старый продолжит работать без каких либо изменений?

[Drno]

dmvlch_dev, подозреваю что понадобится 2й tun адаптер.
по идее должен продолжить работать старый без изменений.

я не могу точно ответить по винде, т.к. такие вещи поднимаю исключительно на linux. винда для такого плохой выбор

в линукс оно ведет себя так, как я описал )

Answer 1

[res2001]

В винде по умолчанию при установке openvpn добавляется только 1 виртуальный tun/tap адаптер, чтоб запустить несколько экземпляров openvpn нужно для каждого экземпляра использовать свой виртуальный адаптер.
В комплекте установки есть утилита tapctl, позволяющая добавлять адаптеры, а так же в меню пуск есть ярлыки для запуска этой утилиты с правильными параметрами.

На самом деле в актуальной версии openvpn по умолчанию устанавливается 3 виртуальных адаптера, но каждый из них разного типа: tun, tap, dco. Похоже можно использовать разные типы адаптеров, изменив опцию dev.
На сколько помню, раньше был только 1 тип адаптера: tun. Его я и использовал всегда. На сколько хорошо работают остальные типы адаптеров под виндой - не в курсе.

Кроме того OpenVPN устанавливает свои службы, которые удобно использовать на серверах, когда нужно, чтоб openvpn стартовал автоматически при старте винды, без вмешательства пользователя.

Comments

[dmvlch_dev]

Спасибо за ответ!
Настройка wintun адаптера требуется или создается новый адаптер и просто прописывается в конфиге?
Я так понимаю нужен либо tun либо tup адаптер, или оба?

[res2001]

dmvlch_dev, Просто создать еще один адаптер. Настраивать адаптер не требуется.
Если не указывать номер адаптера в конфиге (dev tun0), а просто указывать dev tun, то openvpn сам выберет первый свободный адаптер нужного типа (в этом случае и менять конфиг не требуется).

[res2001]

dmvlch_dev,

Я так понимаю нужен либо tun либо tup адаптер, или оба?

Нужен только тот, который вы используете в конфиге в опции dev, и в том количестве, сколько вы планируете запускать экземпляров openvpn с этим типом адаптера.

[dmvlch_dev]

res2001, спасибо за подсказку!