openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
# b+ d7 b( L# G, q" U/ E0 u—————————–
#申明本机使用的IP地址，也可以不说明
;local a.b.c.d
3 x( u. I$ t- Z/ t% k#申明使用的端口，默认1194
port 1194
#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
#如果使用ipv6应改为proto tcp6或proto udp6
0 {( i( S- L4 D) T% `! v  S;proto tcp
7 @( L; i" b; o& @6 \proto udp
% o) F- C& s# F0 o% I  M$ @" z% ^7 Q0 m#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
) G/ m& X9 ]. F* q  q#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
; h0 o! l$ Z; p* m9 Cdev tap
; x5 z, A2 r. @* p;dev tun
#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
ca ca.crt
#Server使用的证书文件
. f( T  c$ O* B  c) s: C, ^8 U0 ?cert server.crt
/ F% \- i- N+ i, s4 n$ i$ _3 L#Server使用的证书对应的key，注意文件的权限，防止被盗
key server.key # This file should be kept secret
#CRL文件的申明，被吊销的证书链，这些证书将无法登录
crl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
* h; Y/ R8 i( O* j3 Gdh dh1024.pem
8 e0 `- ~. f$ Z  d7 c! ?/ r9 A0 x9 @#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
#这条命令等效于：
# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
; Z6 G4 {& M, Y+ M9 m2 L7 e* P# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
#
# if dev tun: #如果使用tun设备，等效于以下配置
2 o2 k) g! y" F8 F" U. h2 v# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
' }" A  g' @) {7 x9 e6 x# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
# if client-to-client: #如果使用client-to-client这个选项
% h8 g& e" j# V( i) }# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
# else
5 K( w  F' Q/ [8 f+ h' D5 u( T  w# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
#
# R  Y# F' I5 P# if dev tap: #如果使用tap设备，则等效于以下命令
5 \  c# {4 H  O  m. l  u& ^- k# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
7 S! ]/ h7 R, b$ k# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
. P: V9 A, G$ l$ U( P0 l#
server 10.8.0.0 255.255.255.0 #等效于以上命令
#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
  O0 O; ?' \0 |- @6 D8 z#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
" \: J) ^3 M' N;push “route 192.168.10.0 255.255.255.0″
- v  q' x, @4 N# \7 m! k;push “route 192.168.20.0 255.255.255.0″
#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
;route 10.9.0.0 255.255.255.252
% S5 z$ V% r7 Z% I: u! Q: I# }#Run script or shell command cmd to validate client
7 u0 Y' l9 ^% A#virtual addresses or routes. 具体查看manual
  X# e6 e" B5 E( G;learn-address ./script
#其他的一些需要PUSH给Client的选项
- ^' G4 u2 t" g4 W- c#
#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
8 K! \, t" g! b;push “redirect-gateway”
#DHCP的一些选项，具体查看Manual
;push “dhcp-option DNS 10.8.0.1″
4 {4 Q; U: v3 R+ c3 S: ?6 V% G9 C;push “dhcp-option WINS 10.8.0.1″
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
client-to-client
#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
) u* q0 j" o& p0 {2 X;duplicate-cn
; w* m5 X* I8 c: _+ X$ f$ e4 O#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
8 X, g) ?2 e8 F#认为连接丢失，并重新启动VPN，重新连接
#（对于mode server模式下的openvpn不会重新连接）。
keepalive 10 120
#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
1 b9 A4 K* N/ ntls-auth ta.key 0 # This file is secret
1 r6 v& L0 }& d! k#对数据进行压缩，注意Server和Client一致
: V! w9 R/ |3 ucomp-lzo
#定义最大连接数
1 \3 H6 F8 y2 u;max-clients 100
#定义运行openvpn的用户
- E% I) g9 n) n, d( tuser nobody
group nobody
$ y0 O- |# @% o" X& P8 Q% q#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
0 H% _( ^" j8 O, h4 hpersist-key
#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
. L4 `% D1 |! I( I+ a: o5 T#否则网络连接会先linkdown然后linkup
7 o- ]% j  V( D2 ]9 m4 \+ Z( h: q: hpersist-tun
#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
! {" `8 u+ R8 Z! N5 dstatus openvpn-status.log
#记录日志，每次重新启动openvpn后删除原有的log信息
8 U! I( f2 O9 |2 }3 `3 Klog /var/log/openvpn.log
5 L& S% S& a% N. b# j#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
1 r5 S' I. X& H( [6 W* s- x" ]3 B;log-append openvpn.log
#相当于debug level，具体查看manual
7 ?# K. w3 l, overb 3
——————————-
把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
#cd /etc/openvpn
#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
0 g) ~: L2 G3 u/ s, l! H2 O$ v/ W#cp easy-rsa/keys/server.key .
% g+ z7 m/ w! ~- W# \+ g- O#cp easy-rsa/keys/dh1024.pem .
#cp easy-rsa/keys/ta.key .
#cp easy-rsa/keys/vpncrl.pem .
. H0 F8 J  J/ a" u6 e& r创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
然后运行：
" @8 b0 I3 T( |/ d# G  U#chkconfig –add openvpn
8 @9 g) d$ J, |7 z0 g- z' s#chkconfig openvpn on
0 ~4 q5 b. t0 h0 m' i0 O. t% i立即启动openenvpn
- s1 T: X5 h' G: p" s#/etc/init.d/openvpn start
+ \  s. Z% E, F, O! }/ K! A% ?0 V
% o2 ]: O9 V- }1 _7 J1 H接下来配置客户端的配置文件client.conf：
Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
———————————-
# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
client

) [3 ^+ U( j9 a+ T! M#指定接口的类型，严格和Server端一致
dev tap
0 u) p0 p( _4 ^# c;dev tun

# Windows needs the TAP-Win32 adapter name
" d6 g' Q4 I6 L, S# from the Network Connections panel
# if you have more than one. On XP SP2,
& H& c( f1 U% u  o# R: l# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap
3 o% `, v( F( B2 J, m  M
9 Q: ~2 G0 p% {/ {! ^: [7 l& n# 使用的协议，与Server严格一致
;proto tcp
; P7 N- c& ~0 C) u" z! Dproto udp
. x4 z- L: w' M5 S8 O, _
+ D( Q" n, s0 ?/ j, r& d5 X#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字

: Y' q. _$ u9 C1 R/ H7 Xremote 61.1.1.2 1194
;remote my-server-2 1194
+ A! U# [/ l2 g' `. f9 r3 u$ P
; a. J( O# k) _$ r# 随机选择一个Server连接，否则按照顺序从上到下依次连接
;remote-random

# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
2 K1 ]$ N% G! ~  V# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
resolv-retry infinite
; E" M+ U6 I9 E9 |# t5 @! s
8 _- h" ?  ^. w3 f# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
& A1 @5 c3 Q+ s9 snobind

& L, R. V7 v; X! _4 @7 E8 ]) H# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
user nobody
8 a% U7 M7 R# v+ Ygroup nobody

#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
/ L4 Q! w2 r' \4 c#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
1 L8 L7 h2 A& M$ ~# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0
, g  N% _; W, y. J. I, V5 I7 o
# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
  q2 `/ ~0 A0 f. `6 gpersist-key
persist-tun

# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
# v  P7 x+ A0 d9 Y# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
! f+ W; [2 a+ e( x& t& m;http-proxy-retry # retry on connection failures
1 g4 h+ f2 u+ Q. W0 c;http-proxy [proxy server] [proxy port #]
& P0 j5 R" U8 q$ p1 ]
# 对于无线设备使用VPN的配置，看看就明白了
1 B0 b7 ?3 L. h8 S# Wireless networks often produce a lot
# of duplicate packets. Set this flag
/ u2 N  [/ c: _# to silence duplicate packet warnings.
;mute-replay-warnings

# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
: I4 L+ D- X) w# J0 M4 @ca ca.crt
# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert elm.crt
key elm.key
5 o1 z1 d/ T2 x6 B# W
2 {  w0 M5 t1 Q$ `; X# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
! S3 `! ?( W$ @2 Z# 因为他们的CA里没有这个扩展
ns-cert-type server

9 [2 M; q4 M# ]* Y1 V/ @$ J9 |# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
7 `9 B: Y: d! P$ h3 C6 T4 ]4 \# btls-auth ta.key 1

# 压缩选项，和Server严格一致
7 ^" U: l1 Q- G, `. U/ ^9 z  [/ ncomp-lzo
" [' P" V2 s0 p
9 a! f2 B  u0 f9 c# Set log file verbosity.
+ T# f9 ?* X: _7 c; cverb 4
% Z* c( F: F) K0 y  n# Z) o