openvpn: клиентские политики доступа

Я видел, как OpenVPN проверял действительность IP-адресов подключенных клиентов (входная фильтрация) в других случаях, поэтому я считаю, что это было сделано и для политик клиентского доступа, хотя я никогда не проверял.

В старые времена, когда не было функции политики клиента, мы использовали для реализации аналогичных требований, просто устанавливая более одной конфигурации openvpn - по одной для каждой зоны безопасности (в нашем примере было три конфигурации - одна для администраторов, одна для сотрудников и один для подрядчиков) - и настройка фильтров пакетов.

Какие конфликты я могу ожидать от запуска нескольких экземпляров openvpn на одном сервере? Я имею в виду, помимо конфликтов файлов, которые легко решаются путем установки различных текущих папок dir и chroot. Должен ли я беспокоиться о портах?

Ничто особо не будет конфликтовать там. Очевидно, вы бы создали разные порты, вы можете создать разные CA и разные сертификаты сервера, хотя это не является обязательным, поскольку вы можете ограничить авторизацию соединения по имени клиента TLS с помощью параметров --tls-remote или --tls-verify.

Порты не проблема, вы не привязаны к 1194/udp по умолчанию, но можете выбрать произвольный неиспользуемый порт на вашем хосте, используя опцию --port.

Нет необходимости устанавливать другой текущий каталог и chroot, хотя вы можете сделать это из соображений безопасности