OpenVPN クライアントごとに設定を分けたい（push route）

OpenVPNにてクライアント証明書を分けて作成し、複数ユーザにて利用しています。

例えばユーザA、ユーザBがそれぞれ別のクライアント証明書にて利用していたとして
サーバ側のserver.confにてpush routeで指定した際の挙動をユーザAのみの設定、
ユーザBのみの設定に分ける設定は可能でしょうか？

ユーザAには192.168.5.xのrouteをpushしたいがユーザBにはこのrouteをpushしたくないなどです。

調べてもこのような設定が出てこず、何かOpenVPNの運用の認識を根本から誤っているのではと思っております。

行動規範の内容に同意します

回答1件

ベストアンサー

https://www.openvpn.jp/document/how-to/#AccessPolicies では、ルーティングは共通で、証明書の CN でネットワークアドレスを分けて iptables で許可/拒否する例があります。
この方法で代替できないでしょうか。

(2022/12/23 14:04) 追記

client-config-dir を使って、クライアントごとの設定ファイルで push route すればできそうです。

(server)
client-config-dir /etc/openvpn/ccd

/etc/openvpn/ccd/(ユーザAのCN)

push "route 192.168.5.0 255.255.255.0"

投稿2022/12/22 11:29

編集2022/12/23 05:05

TaichiYanagiya

総合スコア12148

退会済みユーザー

2022/12/24 21:45

ご回答いただき感謝です。 client-config-dirについてはそもそも機能を知らなかったので目から鱗でした。ただ、当方の現在の設定状況ではすでに duplicate-cn　の設定を入れて複数のクライアント端末を同一の証明書で運用してたこともあり、導入は推奨されてはいないようでした。 https://wiki.archlinux.jp/index.php/OpenVPN >>サーバーは、設定ファイルで duplicate-cn ディレクティブを使用してはならない。とはいえ、OpenVPNの運用を正しい設計にすれば実現できそうなのでベストアンサーとさせていただきます。本当にありがとうございました。

行動規範の内容に同意します