Управление OpenVPN сертификатами в консоли
Выбранные пары IP-адресов, во-первых, должны быть уникальными, во-вторых, должны входить в состав последовательных подсетей, ограниченных маской /30 (255.255.255.252), и, в-третьих, должны находиться в пределах пула IP-адресов, выделенного для виртуальной частной сети (определяется параметром server файла конфигурации сервера OpenVPN). С учетом перечисленных условий для клиентов и сервера подойдут пары IP-адресов со следующими парами последних октетов:
[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18] [ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38] [ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58] [ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78] [ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98] [101,102] [105,106] [109,110] [113,114] [117,118] [121,122] [125,126] [129,130] [133,134] [137,138] [141,142] [145,146] [149,150] [153,154] [157,158] [161,162] [165,166] [169,170] [173,174] [177,178] [181,182] [185,186] [189,190] [193,194] [197,198] [201,202] [205,206] [209,210] [213,214] [217,218] [221,222] [225,226] [229,230] [233,234] [237,238] [241,242] [245,246] [249,250] [253,254]
именно поэтому 10.8.0.9 10.8.0.10, 10.8.0.13 10.8.0.14 и так далее
Ну и после добавления в клиентский конфиг ip добавляем правило iptables:
iptables -t nat -A POSTROUTING -s 10.8.0.9 -o venet0 -j SNAT --to-source 77.79.14.162, то есть client1(конфиг:
[root@serv ccd]# cat client1
ifconfig-push 10.8.0.9 10.8.0.10
iroute 10.8.0.0 255.255.255.0) при коннекте получит внутренний локальный ip 10.8.0.9, который iptables будет редиректить на 77.79.14.162 на выходе
ну и так далее:
iptables -t nat -A POSTROUTING -s 10.8.0.17 -o venet0 -j SNAT --to-source 77.79.14.165 iptables -t nat -A POSTROUTING -s 10.8.0.21 -o venet0 -j SNAT --to-source 77.79.14.166 iptables -t nat -A POSTROUTING -s 10.8.0.25 -o venet0 -j SNAT --to-source 77.79.14.167 iptables -t nat -A POSTROUTING -s 10.8.0.29 -o venet0 -j SNAT --to-source 77.79.14.168 iptables -t nat -A POSTROUTING -s 10.8.0.33 -o venet0 -j SNAT --to-source 77.79.14.169 iptables -t nat -A POSTROUTING -s 10.8.0.37 -o venet0 -j SNAT --to-source 77.79.14.170 iptables -t nat -A POSTROUTING -s 10.8.0.41 -o venet0 -j SNAT --to-source 77.79.14.171 iptables -t nat -A POSTROUTING -s 10.8.0.45 -o venet0 -j SNAT --to-source 77.79.14.172
Для клиента в итоге конфиг ovpn-файла будет выглядеть так:
client remote 77.79.14.161 1194 dev tun comp-lzo ca ca.crt cert client1.crt key client1.key route-delay 2 route-method exe redirect-gateway def1 dhcp-option DNS 8.8.8.8 verb 3
где 77.79.14.161, IP адрес сервера на котором установлен VPN