openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
—————————–
#申明本机使用的IP地址，也可以不说明
7 _) I$ V3 ^$ n: j  `5 S: G;local a.b.c.d
#申明使用的端口，默认1194
/ n  |* r0 y+ p% p" gport 1194
#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
) e/ F) J. y! j#如果使用ipv6应改为proto tcp6或proto udp6
;proto tcp
1 j1 V7 q& Z. N& z7 U" B+ a8 Fproto udp
#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
1 \' L3 A/ Q) f' Y  edev tap
) m. C, f5 `* a' q% }* j' Z4 A' X& |;dev tun
1 b" ~! X; y% Q' Y#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
9 P4 g& x. o8 U. b+ P- ica ca.crt
#Server使用的证书文件
cert server.crt
#Server使用的证书对应的key，注意文件的权限，防止被盗
$ Y7 _4 Q3 f) N: x. S# W* bkey server.key # This file should be kept secret
& p6 j' n1 ?  z1 |$ ]#CRL文件的申明，被吊销的证书链，这些证书将无法登录
, e( G. R9 E, scrl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
. a) y- i% h+ B( M0 H8 x#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
#这条命令等效于：
# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
9 t" {4 Y) e: p; [& ?7 D* w# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
; [, ]7 y% G; q" h4 d#
% o, s( o# ?& |% F# if dev tun: #如果使用tun设备，等效于以下配置
) a1 F/ b2 g8 i5 q. H% k# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
; z( {! E( V  [/ v. H# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
0 V" e8 I$ \- B& f7 y; L  Z# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
# if client-to-client: #如果使用client-to-client这个选项
5 V5 `) Q- g6 y2 H/ `# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
# else
, Z& c  f, w  p8 B, x# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
#
' Y3 h, ]: N5 n  Q# if dev tap: #如果使用tap设备，则等效于以下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ~- I3 n% l* D- d! l# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
0 O) D( s8 @, D% o; w2 F' Y#
server 10.8.0.0 255.255.255.0 #等效于以上命令
#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
2 P0 t. N9 x' @- P$ h#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
;push “route 192.168.10.0 255.255.255.0″
;push “route 192.168.20.0 255.255.255.0″
3 F1 i( b5 _. u9 C. v+ J$ d+ R#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
5 A% _/ W2 J/ U0 ^;route 10.9.0.0 255.255.255.252
! {3 ]2 C1 F6 z#Run script or shell command cmd to validate client
#virtual addresses or routes. 具体查看manual
;learn-address ./script
5 |9 q- T7 I0 S; l, D+ ]# z, _9 Y#其他的一些需要PUSH给Client的选项
0 e% c0 y/ O& D2 g#
#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
* {( b& P6 S4 K& \: b;push “redirect-gateway”
0 w( C9 e/ R8 u0 s! ?6 p#DHCP的一些选项，具体查看Manual
7 o5 [# j) H! [7 I9 {;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
: p5 u! L* l" A#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
9 e  O* j( u( l5 ~2 A#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
5 W8 o6 X- G. v) ^; Eclient-to-client
# U; n8 ?3 j- B; d' X! M2 _: W#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
;duplicate-cn
#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
/ ~% X8 h' q; g& }# a) J#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
; }& j9 v' c$ ^# i#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
#认为连接丢失，并重新启动VPN，重新连接
#（对于mode server模式下的openvpn不会重新连接）。
keepalive 10 120
#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
tls-auth ta.key 0 # This file is secret
#对数据进行压缩，注意Server和Client一致
comp-lzo
#定义最大连接数
" d, K# U  k6 ^: i9 a;max-clients 100
' ~( b3 m/ v1 s1 }- Q, D& [0 j#定义运行openvpn的用户
user nobody
group nobody
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-key
1 Z! i( [* ]. a/ B9 k#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
#否则网络连接会先linkdown然后linkup
4 _0 j" k/ s) I' I+ `/ d. K0 ~persist-tun
& k7 K) w' E" V/ x#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
status openvpn-status.log
, \( J$ v  x, j# @$ \#记录日志，每次重新启动openvpn后删除原有的log信息
# h" w* ^% L; H) t- elog /var/log/openvpn.log
#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
;log-append openvpn.log
#相当于debug level，具体查看manual
verb 3
——————————-
  b8 Q8 V% v, t* _把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
, G% \. @" T) g: M4 V* b#cd /etc/openvpn
#cp easy-rsa/keys/ca.crt .
3 w* |5 X: Z- [+ d8 ?#cp easy-rsa/keys/server.crt .
#cp easy-rsa/keys/server.key .
' r5 c: s' x4 K0 l' d3 m#cp easy-rsa/keys/dh1024.pem .
' w/ J  L  }5 v/ |#cp easy-rsa/keys/ta.key .
#cp easy-rsa/keys/vpncrl.pem .
创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
0 |/ ]/ A0 Y- x1 J然后运行：
#chkconfig –add openvpn
#chkconfig openvpn on
/ n+ M4 G1 @2 n+ K立即启动openenvpn
#/etc/init.d/openvpn start
, f0 y; k8 T& H- D
接下来配置客户端的配置文件client.conf：
* M9 ?* O( W+ f9 X( OLinux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
———————————-
3 V! B3 R  n: g- f/ R# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
client

4 }9 d+ j3 Q9 _#指定接口的类型，严格和Server端一致
dev tap
7 ~; k* u0 m( o- o$ n3 z$ u, D- p;dev tun
+ z/ Y5 K/ V, m+ @7 f
# Windows needs the TAP-Win32 adapter name
$ z  Q9 M% w; J0 ?/ M# from the Network Connections panel
9 D8 O# ]! x& B# J- O  x+ K, b# if you have more than one. On XP SP2,
! T1 T9 P' D0 i+ n4 @/ _+ z# you may need to disable the firewall
2 L0 l' Q: V) P! M! N# for the TAP adapter.
;dev-node MyTap

/ Y$ f) b; o! H5 O0 h5 `0 U# 使用的协议，与Server严格一致
: S5 Z: w8 j5 Y* r;proto tcp
proto udp

#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字
+ J8 g1 ~" V/ {
remote 61.1.1.2 1194
& v0 p8 p7 S8 Y# h- Y* i1 M  O;remote my-server-2 1194

  L( N2 ]5 [0 i  c; o# 随机选择一个Server连接，否则按照顺序从上到下依次连接
;remote-random
# r+ N0 K; m( R8 q% ], @8 |
# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
resolv-retry infinite

: X. o% h, k7 h! R# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
1 M5 l& x+ P4 M0 V' b0 p) N+ gnobind

# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
user nobody
group nobody
6 y0 m$ Y; w/ \1 p& ~( x
#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0

# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
5 B0 F* E/ @' l! D+ Wpersist-key
' k( W9 A+ h3 V2 r0 upersist-tun
' E. J  l! G4 x2 [2 f3 T! S
; ~5 w5 {, g9 L5 O! k9 X0 \5 X# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
5 E: n9 Z( g7 m, ?# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
1 J% s& X* l/ S2 \
# 对于无线设备使用VPN的配置，看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
: O0 U1 [- Q/ Q9 Q# to silence duplicate packet warnings.
+ `. p6 H1 E. {;mute-replay-warnings
2 d7 l. r0 D3 D- D# t7 ~
# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
- g4 A8 N' A5 sca ca.crt
* ^; X5 G) B9 C# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
7 m4 p4 \% K0 |cert elm.crt
key elm.key

/ F3 B- |3 ^2 t& v# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
9 V5 I8 ^2 J: c9 E% x6 k7 \# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
* D5 U$ c, z% Q9 `& _# J* E7 Tns-cert-type server
, G( ]9 K4 k% k! u
: W2 Q3 {+ h2 K# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
9 l. \( o4 U, ~: ltls-auth ta.key 1
- x/ ^* O! x( ~* ?+ d8 d* D' }
# 压缩选项，和Server严格一致
comp-lzo
! o9 F! |; T( p1 t
# Set log file verbosity.
verb 4