回答:
実際には、これらの理由のどちらでもありません。これらの2つのオプションのいずれかである必要がある場合、セキュリティであると主張するかもしれません。ただし、duplicate-cnを単独で使用しても、VPNの安全性は低下しません。私が知っている2つの理由があります。最初の問題は、VPNでの認証に使用される資格情報の管理に関する懸念です。多くのクライアントが同じ証明書を使用している場合、その証明書を取り消すと、それを使用するすべてのクライアントのアクセスも取り消されます。また、クライアントデバイスは一般的な範囲のパブリックアドレスからローミングして接続を開始するのが一般的です。そのような場合、そのデバイスがローミングにもかかわらず、VPNで同じアドレスを保持することが望まれます。クライアント証明書ごとに複数の接続はありません。
duplicate-cnの有効なユースケースは、クライアントデバイスがローミングせず、クライアントごとにアクセスを制御することを気にせず、キーと証明書の管理に時間をかけすぎないことです。彼らの勧告の根拠は、そのようなケースが少数派であり、ほとんどの人がセキュリティを理解しておらず、PKIベースのセキュリティはあまり知られていないこと、そしてそのような人のために水を汚したくないという事実にあると思います。
WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
duplicate-cnとclient-config-dirの併用が推奨されない理由は、特定のユーザーが静的IPを使用する構成を持ち、複数のデバイスから同時に接続する場合に発生する問題によるものだと思います。そのような状況では物事はうまくいきません。複数の接続ユーザーがclient-config-dir静的IPを持っていない限り、問題はないはずです。