Можно ли настроить несколько пулов адресов для клиентов на сервере OpenVPN?

Не знал что openvpn умеет несколько серверов на одной тачке поднимать, но вариант хороший. Была мысль попробовать запихнуть ifconfig-pool x.x.x.x... в ccd/client1, и ifconfig-pool y.y.y.y... в ccd/client2, но не уверен что сервак такое схавает.

Не срабатывает API запрос от сервера авторизации к GSM шлюзу?

Andrey Barbolin, понятно что ? разделяет URL и DATA в запросе, вопрос был не в этом. Если внимательно посмотреть, то в запросе

http://x.x.x.x/cgi/WebCGI?1500101=account=xxx&password=xxx&port=1&destination=xxxxxxxxxxx&content=Ваш+код+для+доступа+в+интернет:+xxxx

есть параметр 1500101=account=xxx. А в логе сервера

url=http://x.x.x.x/cgi/WebCGI, data=password=xxx&port=1&destination=xxxxxxxxxxx&content=Ваш+код+для+доступа+в+интернет:+xxxx

в data параметр 1500101=account=xxx отсутствует и строка начинается с data=password=xxx. Запрос который вы предложили сделать это из примера, так что у меня он не сработает, но проверить через curl идея хорошая, спасибо.

Как запретить автореконнект клиента к серверу OpenVPN?

AlexVWill, ну в идеале конечно так и подобных проблем бы не возникало. Но это в идеале! А на деле я выдаю клиенту конфиг, а откуда он там и когда с него захочет подключиться - одному богу известно). А плодить по десять конфигов на каждого клиента на все случаи жизни, так и поседеть недолго)

Как ограничить доступ к локальным подсетям для разных клиентов OpenVPN?

res2001, в конфиге клиента я для теста прописал push "route 10.90.0.10 255.255.255.0" и push "route 10.200.0.0 255.255.0.0", мне же никто не запрещает 2 маршрута добавить? В iptables я прописываю

iptables -A FORWARD -i tun0 -s 10.8.0.10 -d 10.90.0.0/24 -j ACCEPT
iptables -A FORWARD -i tun0 -s 10.8.0.10 -d 0.0.0.0/0 -j DROP

соответственно пакет сначала проверяется на первое правило, если по нему не проходит (тобишь адрес назначения не из 10.90.0.0/24), то проверяется уже по второму правилу и дропается. Если бы у меня хотя бы одно из этих правил не срабатывало, то я бы мог пинговать либо все, либо ничего. 10.8.0.10 - адрес одного из клиентов. Для другого клиента с адресом 10.8.0.20 я добавил соответствующий маршрут до 10.200.2.0 и правило в iptables. На нем все также прекрасно работает и кроме 10.200.2.0 другие сети не пингуются.

Как ограничить доступ к локальным подсетям для разных клиентов OpenVPN?

res2001, для успокоения совести прописал маршрут прямо на самом клиенте и результат аналогичный, так что iptables действительно начали отрабатывать как надо))

Как ограничить доступ к локальным подсетям для разных клиентов OpenVPN?

res2001, полностью согласен что на маршрутизацию полагаться не стоит (писал об этом в комментах) и разумеется проверил как отрабатывают iptables. Не думаю что так уж обязательно прямо на клиенте вручную добавлять. Например я для проверки добавил push "route 10.200.0.0 255.255.0.0" в конфиг клиента в ccd (по идее это аналогично тому что я вручную его пропишу), а

iptables -A FORWARD -i tun0 -s 10.8.0.10 -d 0.0.0.0/0 -j DROP

соответственно запрещает трафик в эти сети. Без этого правила все сети спокойно пингуются с клиента, а с ним пингуется только 10.90.0.0. Вот так и узнал)

Как ограничить доступ к локальным подсетям для разных клиентов OpenVPN?

ValdikSS, если под "включен NAT" вы имеете в виду что то вроде этого:

firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o $DEVICE -j MASQUERADE

то нет не использую, iptables пустой.
Через форвардинг тоже пробовал:

iptables -A FORWARD -i tun0 -s 10.8.0. 10 -d 10.90.0.0/24 -j ACCEPT
iptables -A FORWARD -i tun0 -s 10.8.0.10 -d 0.0.0.0/0 -j DROP

не цепляет он пакеты с этого адреса.
Думаю попробовать через PREROUTING прописать, может чего выйдет из этого.

Как ограничить доступ к локальным подсетям для разных клиентов OpenVPN?

Andrey Barbolin, Да, действительно не подумал что и правда можно пушить маршруты для конкретного клиента через конфиг в ccd, спасибо за совет! Хот в этом случае клиент может себе при желании вручную маршрутов накидать, а это уже как то не очень секьюрно получается. Хотелось бы все таки как то ограничить это дело на уровне сервера, а не в конфиге клиента.