¿Es posible volver a teclear OpenVPN sobre la marcha con un nuevo PSK sin matar un reinicio con una nueva configuración? Se iniciará con un PSK, pero quiero cambiarlo poco después del inicio y periódicamente.
No con un PSK. Pero lo que pides es algo que proporciona OpenVPN con su modo TLS. Eso negociará periódicamente nuevas claves para usted automáticamente.
Si desea que la red sea igual a igual, como en el modo PSK, puede usar configuraciones similares a las de las configuraciones de servidor de bucle de retorno y cliente de bucle de retorno en los archivos de configuración de OpenVPN.
Algo como esto debería funcionar:
Peer 1;
remote peer.2.ip.address
local peer.1.ip.address
dev tun
verb 3
tls-server
dh dh2048.pem
ca ca.crt
key server.key
cert server.crt
tls-auth ta.key 0
Peer 2:
remote peer.1.ip.address
local peer.2.ip.address
dev tun
verb 3
tls-client
remote-cert-tls server
ca ca.crt
key client.key
cert client.crt
tls-auth ta.key 1
Puedes usar una herramienta como easyrsa para generar la ca y los certificados.
Lea otras preguntas en las etiquetas key-management openvpn