OpenVPNにおけるグループ単位でのIP払い出しについて

[武田大輔]

いつも大変参考にさせてもらっております。

今回は皆様のOpenVPNの設定を参考にしたく投稿させていただきました。

実現したい事としては以下の通りです。

１．証明書(グループ単位で発行)とID/PW認証の複数要素認証にする。

２．ポート番号で区別する以外の方法でグループ単位で払い出すIPレンジを変更する

　　(例えば、Aグループは10.0.0.0/24, Bグループは10.0.1.0/24)

このとき、現在は

非推奨であるduplicate-cnをオンにして、ID/PW認証をsqliteを用いて1を実現。

ポート番号以外の方法でグループ単位で区別つける方法がわからなかったため、2についてあきらめてポート番号で区別。

を想定しているのですが、

上記の要望を実現したいときに、

よりよい方法があるでしょうか。

是非ご教授いただければと思います。

よろしくお願いいたします。

[Taro Yamazaki]

武田さま

こんにちは、やまざきです。

複数ブロックのアドレスを動的に割り振りたいとなると、やはりOpenVPNサー
バーのインスタンスを分ける（＝サーバー側のポート番号やIPアドレスを分け
る）ことになると思います。

通常、接続してくるユーザーごとにアドレスを指定したい場合は、動的にはアド
レスを割り振らず、クライアント構成ディレクトリやスクリプトを使用して各ク
ライアント（共通名）ごとに固定でIPアドレスを割り振るというのが一般的で、
これであれば単一のインスタンスで対応できます。台数が増えてくるとちょっと
面倒ではありますが...。

あとは、（サーバーやネットワークの構成にもよりますが）スクリプトとデータ
ベースなどを組み合わせて、接続時に動的にIPアドレスを割り振るような仕組み
を自作することも技術的には可能かと思います。

> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登
> 録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com
> <mailto:openvpn-japan-user...@googlegroups.com> にメール
> を送信してください。
> その他のオプションについては https://groups.google.com/d/optout にアクセ
> スしてください。


--
::: Taro Yamazaki [ ta...@plum-systems.co.jp ]
: <Blog> http://yamatamemo.blogspot.jp/
: <LinkedIn> http://www.linkedin.com/in/yamata
-------------------------------------------------------------
: Plum Systems Inc.
: 2-3-11-2F, Kurihira, Asao, Kawasaki, Kanagawa, 215-0031, JAPAN
: http://www.plum-systems.co.jp/

[武田大輔]

やまざきさま

返信いただきありがとうございます。

また、返信が遅くなってしまい申し訳ありません。

なるほど…一般的な設定としては

個別にIPを設定するというものだったのですね。

今の私には少し厳しいと思いますが、データベースと組み合わせて動的にIPアドレスを割り振る仕組みも少し考えてみたいと思います。

ご丁寧に返信いただきありがとうございました。