¿El cambio de la configuration del server openvpn afecta a los certificates ya emitidos?

Tenemos un server OpenVPN en ejecución que está en uso, con una serie de clientes estáticos definidos y certificates emitidos.

Sin embargo, con el time se ha hecho evidente que el IP pool actualmente disponible no va a ser suficiente.

Podemos cambiar la configuration en el server a algo como:

server 10.8.0.0 255.255.0.0 

Para abrir todo el 10.8. . class B para arreglar esto, sin embargo lo que no estoy seguro de si es que afectaría a nuestros actuales ovpn certificates o clientes estáticos?

A su primera pregunta sobre certificates:

El cambio de la subnetworking no afectará a los certificates existentes.

A su segunda pregunta sobre los clientes estáticos:

Depende de su configuration.

Según la página de manual openvpn:

  For example, --server 10.8.0.0 255.255.255.0 expands as follows: mode server tls-server push "topology [topology]" if dev tun AND (topology == net30 OR topology == p2p): ifconfig 10.8.0.1 10.8.0.2 if !nopool: ifconfig-pool 10.8.0.4 10.8.0.251 route 10.8.0.0 255.255.255.0 if client-to-client: push "route 10.8.0.0 255.255.255.0" else if topology == net30: push "route 10.8.0.1" if dev tap OR (dev tun AND topology == subnet): ifconfig 10.8.0.1 255.255.255.0 if !nopool: ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 push "route-gateway 10.8.0.1" if route-gateway unset: route-gateway 10.8.0.2 

Si cambia su subnetworking, las routes correctas se enviarán automáticamente a sus clientes.

Si utiliza dev tun con topology subnet y explícitamente envía ifconfig a sus clientes, también debe actualizar la máscara de subnetworking allí, por ejemplo en un file de configuration de cliente específico del cliente con IP 10.8.0.2 :

 ifconfig-push 10.8.0.2 255.255.0.0 

En este escenario cuando se configura una IP estática en el file de configuration del lado del cliente, debe actualizar la máscara de subnetworking:

 ifconfig 10.8.0.2 255.255.0.0 

Algunas observaciones generales:

Una alternativa sería crear una instancia de openvpn separada con un nuevo file de configuration que sirva una subnetworking adicional / 24:

 server 10.8.1.0 255.255.255.0 

Esto podría ser mejor con respecto al performance como se explica aquí . Aunque la segunda instancia tendrá que escuchar en un puerto independiente y si necesita subnetworking a la conectividad de subnetworking , también tiene que empujar las routes a las otras subnetworkinges vpn.