openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
5 e0 {; U. X& Q8 V8 I—————————–
#申明本机使用的IP地址，也可以不说明
;local a.b.c.d
#申明使用的端口，默认1194
1 N, K! h6 Y6 bport 1194
( F1 Q2 H: Q" {/ E2 N& [5 S* k#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
& h, F- Y9 A" z3 C6 e: j( J/ J#如果使用ipv6应改为proto tcp6或proto udp6
;proto tcp
proto udp
% O4 |. R1 T- _3 [#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
dev tap
;dev tun
7 P" d1 m' L6 h: @/ _  C/ K#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
ca ca.crt
; f' U; t# t; y6 x, L2 K$ H: p6 k#Server使用的证书文件
* \$ ^- q: _: z$ R5 e. o7 Icert server.crt
#Server使用的证书对应的key，注意文件的权限，防止被盗
- j2 I2 ]4 J0 e8 Ikey server.key # This file should be kept secret
#CRL文件的申明，被吊销的证书链，这些证书将无法登录
2 n3 L+ L% s$ `8 _1 i9 d* \crl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
" n* v, Q, S' z! P3 W: `& R- n7 i# hdh dh1024.pem
8 A' i: S" S' {, W: V) t0 E#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
" A* c+ ]) y# c0 A- I+ y2 `' {2 _#这条命令等效于：
/ P% j! o6 B/ r! {' ~! o- R! D" D# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
9 ^  T$ Q/ @8 e3 O  t( x#
' Z/ l; \/ i( O' ]  l2 P% u# if dev tun: #如果使用tun设备，等效于以下配置
* a9 n) |$ r) f+ T1 s# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
) p- c1 m3 j/ I# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
# if client-to-client: #如果使用client-to-client这个选项
# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
# else
# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
#
# if dev tap: #如果使用tap设备，则等效于以下命令
+ p7 A3 ^+ y  b3 H: A2 J, ]# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
#
6 K/ b5 G# s/ ~! [. D/ x$ mserver 10.8.0.0 255.255.255.0 #等效于以上命令
) g. s" i; N5 l' Q4 Q0 ~! Z#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
! I1 z# f) c4 w1 `;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
; D; v( `! q0 p1 i8 q' E% N, U;push “route 192.168.10.0 255.255.255.0″
$ t9 f) g3 u1 A;push “route 192.168.20.0 255.255.255.0″
#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
" b  m; h9 B* _, Y#virtual addresses or routes. 具体查看manual
;learn-address ./script
. D! [! X# J: B, G# u! C4 V#其他的一些需要PUSH给Client的选项
2 I2 O( u1 T8 A( G( ]2 K#
#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
( z: p) e5 s6 t$ h;push “redirect-gateway”
" j0 q3 M# s. n# E. o5 x9 x#DHCP的一些选项，具体查看Manual
1 L" p8 ?/ |7 Q9 m* c;push “dhcp-option DNS 10.8.0.1″
) x0 a, P2 e2 F; P/ ];push “dhcp-option WINS 10.8.0.1″
( l5 [/ y( T4 H' g$ A#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
9 Y+ }1 D7 u& ~#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
6 ^% b" n, j+ p7 ?$ @8 Sclient-to-client
  \/ E) l* d( _' M* @3 }5 |#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
: b! q0 v6 e3 B0 b( X* H;duplicate-cn
#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
8 B* L- F. [) r2 c#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
; S1 i* \; y& }  \* Z#认为连接丢失，并重新启动VPN，重新连接
#（对于mode server模式下的openvpn不会重新连接）。
keepalive 10 120
#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
4 O; [% f4 p* X#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
$ z' I  A' d. x  W" I& R  @: K! \1 atls-auth ta.key 0 # This file is secret
#对数据进行压缩，注意Server和Client一致
1 P; \* k+ C* X' i( Ycomp-lzo
#定义最大连接数
" f; S/ H0 A5 P+ a! t0 U: t9 T;max-clients 100
+ _8 z" q$ L& T5 ^, C: t#定义运行openvpn的用户
user nobody
group nobody
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-key
#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
9 H* r/ H7 P% s! g% r#否则网络连接会先linkdown然后linkup
2 T' h' y% A4 B) x1 t% T( Q' Q9 [persist-tun
6 }7 w4 R: P6 X- l' u6 Y#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
5 j/ y; z5 q$ d& o9 T) ~, Hstatus openvpn-status.log
$ I( p+ d. J/ o/ [  x#记录日志，每次重新启动openvpn后删除原有的log信息
log /var/log/openvpn.log
#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
;log-append openvpn.log
#相当于debug level，具体查看manual
6 n, `8 O* y  S2 ?verb 3
——————————-
5 S% t! v6 Z& F4 F把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
8 Y0 ~+ S/ e* e: A5 p& c#cd /etc/openvpn
#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
#cp easy-rsa/keys/server.key .
#cp easy-rsa/keys/dh1024.pem .
( L1 {2 }. M4 O3 x0 B#cp easy-rsa/keys/ta.key .
#cp easy-rsa/keys/vpncrl.pem .
创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
然后运行：
#chkconfig –add openvpn
#chkconfig openvpn on
立即启动openenvpn
#/etc/init.d/openvpn start

接下来配置客户端的配置文件client.conf：
, c) C) _3 Y5 OLinux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
" Z, ?/ h, n( u———————————-
, \8 C0 \( _3 o: p; h3 w# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
1 n* d' P+ S$ C" G: ^client
+ |) z0 _! P% D" W: a5 f6 c- U
# l8 c+ }( g: U( U& {#指定接口的类型，严格和Server端一致
dev tap
/ N* C3 V  f0 `4 E( \;dev tun

# Windows needs the TAP-Win32 adapter name
0 `3 t) E$ Z3 B3 ^) y# from the Network Connections panel
4 P8 W: D6 ~+ q! C8 {; Z6 w) T# if you have more than one. On XP SP2,
! b& l  W2 ]1 c! b! R. _5 @# you may need to disable the firewall
# for the TAP adapter.
  z* m4 W* N" W1 _, Q- |8 w- K;dev-node MyTap
' N0 h" Y) f( H1 W  A
# 使用的协议，与Server严格一致
;proto tcp
proto udp
  W! H% r; u0 g- Z3 y3 b# [8 Z
) x5 O7 y# P5 j) ~# Q( Q7 \! D& ^6 v#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字
0 H4 b# W' X# J. R: v9 x, R% U
$ f7 C) `& T# w4 }remote 61.1.1.2 1194
8 x2 }! c! I8 ?7 S& l5 _. V5 `& [% x;remote my-server-2 1194
2 j, e, u! J. }# y& }
# 随机选择一个Server连接，否则按照顺序从上到下依次连接
;remote-random

+ l/ j2 g1 F/ N6 g+ w0 v  t# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
resolv-retry infinite

7 I( c6 b2 v2 L* |9 V# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
" V2 V4 T/ h/ vnobind
4 ?6 \' e' J- o
+ N8 t7 ?6 [! u5 i# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
user nobody
group nobody
: H7 U0 d% T6 {# G0 u' R! u
; _6 n! X3 o* {0 K#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
# push “route 192.168.0.0 255.255.255.0″
/ F. [$ Z2 O! ~: Z( r: }route 192.168.0.0 255.255.0.0

# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
persist-key
persist-tun

9 O# \# @# Q5 [) ^& J# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
6 \4 x8 Q8 N% w& y7 J2 b# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
; T0 O4 r! _3 W* F# d# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
) M- c, Q: t7 \; [  o9 f;http-proxy [proxy server] [proxy port #]

6 i+ K" K' m, Z# 对于无线设备使用VPN的配置，看看就明白了
# Wireless networks often produce a lot
/ i7 g5 |* \8 j/ p  z  J9 W1 [# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
8 {- S- C' |) n/ }( v6 h;mute-replay-warnings

: A4 {1 L: y3 H; t$ M, d5 N) e. V# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert elm.crt
key elm.key

# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
, ~7 c% I' \$ E8 A* \# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
ns-cert-type server

, R5 h" \8 {! U. W) ?# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
$ O6 m0 q. V) x1 I: ^; _8 wtls-auth ta.key 1

7 l0 I. L& y. G0 x3 S4 c# 压缩选项，和Server严格一致
comp-lzo

# Set log file verbosity.
7 z6 J" m+ P/ j# S, I, S( r, ]% Z* Uverb 4
3 H3 s8 c3 I0 j9 a" Y