Простой способ перехода с Openvpn-Access Server на Community Edition?

Это - старый вопрос, но я хотел бы ответить на него в случае, если кто-то еще пытается сделать то же самое. Чтобы переключиться от OpenVPN-AS до выпуска сообщества и сохранить ту же конфигурацию, на server.crt, server.key, dh.pem, и ca.crt, используемый на Сервере доступа, нужно сослаться в новом файле выпуска server.conf сообщества. С тех пор по умолчанию, A.S. использует pam аутентификацию для двойной аутентификации, новый сервер C.E. должен быть настроен этот путь также. Эти строки должны быть добавлены к server.conf:

plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so openvpn

Тогда файл /etc/pam.d/openvpn должен быть создан с этими строками:

auth       sufficient   /lib/security/pam_radius_auth.so debug
account    sufficient    /lib/security/pam_radius_auth.so

Любые другие опции, определенные в A.S., на сгенерированную конфигурацию нужно сослаться в server.conf файле также (таком как номер порта, первичный, com-lzo, шифр, и т.д.). Так как я не мог выяснить, где или как те файлы хранятся при использовании сервера доступа, я решил просто удалить openvpn-как, и запуститься.

В заключение я решил восстановить конфигурацию с нуля, потому что это было легче, и также имело смысл изучать, как правильно развернуть выпуск сообщества openvpn сервер сам. Я решил не использовать аутентификацию PAM, и скорее использовать easyrsa3 для установки сервера и клиентских сертификатов, с помощью отдельной машины в качестве центра сертификации для повышенной безопасности. Я также использовал tls подлинную опцию (включающий 'ta.key' как брандмауэр HMAC, чтобы помочь предотвратить атаки "отказ в обслуживании").

Мой совет любому желающему переключаться от Сервера доступа до Выпуска Сообщества состоит в том, чтобы запуститься с нуля, удалить A.S. и установить openvpn пакет, генерировать новые сертификаты и ключи, и самое главное, использовать отдельную машину для подписания запросов сертификата.