Как заблокировать пользователя на openvpn сервере без отзыва ключа?

Question

[Sergey Popyvanov]

Приветствую.
Сервер на CentOS, на нём поднят openvpn сервер.
Возникают штатные ситуации, когда не понятно сразу дискредитирован ключ openvpn-клиента или нет. Процедура отзыва вполне ясна и понятна из документации. За ней следует создание нового ключа и перенастройка компьютера-клиента.
Прошу подсказать решение, как можно заблокировать пользователя без отзыва ключа (с возможностью восстановления).
Спасибо.

Answer 1

[SupportIT]

Если client-config-dir ccd
то
echo 'disable' >/etc/openvpn/ccd/certname

Answer 2

[Ilya Evseev]

Если пользователю выдаётся фиксированный IP, то можно блокировать файрволлом.
Подключиться сумеет, что-то принять и передать через туннель нет.

Comments

[Sergey Popyvanov]

Да, как раз все дороги и ведут к настройке фаерволла.

Гипотетически,а если пользователь руками вобьет другой адрес?
Сам, конечно, пробовал, не пускает, если пытаешься вбить другой IP вручную.
Еще изучаю документацию по OpenVPN, но думал возможно как-то блокировать именно сам ключ без отзыва... может конечно рассмотреть какие-нибудь костыли типа переименования ключа пользователя на сервере... или ccd-exclusive прописывать в конфиге сервера и перезагружать.
Мало ли что может случится с фаерлволлом, отрабатываю всякие ситуации, пока есть время разобраться))