openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
4 f0 K! {+ L0 }4 ?' u* D—————————–
#申明本机使用的IP地址，也可以不说明
9 [3 h. h( \# ~' y4 X; U;local a.b.c.d
#申明使用的端口，默认1194
port 1194
#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
#如果使用ipv6应改为proto tcp6或proto udp6
;proto tcp
5 ~5 x$ e; w, ^# j1 u  |  eproto udp
#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
  T) G5 r6 I( ldev tap
;dev tun
#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
' h! r4 }+ b1 [# gca ca.crt
#Server使用的证书文件
cert server.crt
#Server使用的证书对应的key，注意文件的权限，防止被盗
key server.key # This file should be kept secret
#CRL文件的申明，被吊销的证书链，这些证书将无法登录
crl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
, W: K& X+ A& \1 ^#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
/ }; y2 [3 n4 y#这条命令等效于：
# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
/ B+ S; C5 Z8 p  c' i! o# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
1 v8 p- D6 R$ i, d* `# m#
# if dev tun: #如果使用tun设备，等效于以下配置
# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
* r6 D5 [; _& N( L' O+ y2 Y! L1 {# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
- R! N  A  s; N, C! m# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
( z+ `7 R) H" d7 J) d+ A# if client-to-client: #如果使用client-to-client这个选项
# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
# else
# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
/ t' H5 w: C+ S, D4 X#
7 P9 d- d! D/ P: a3 S" N8 {# if dev tap: #如果使用tap设备，则等效于以下命令
! C1 c3 Z4 Q' n+ n9 h; Q# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
  g& x* p/ e4 e# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
- d: S. J% N* w  s#
server 10.8.0.0 255.255.255.0 #等效于以上命令
% \2 |0 x8 V, L: S# Y' @) j" w#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
- }( ^1 c% l: R1 a& }#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
% S: z$ Z& S1 W, A#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
" A- Q8 ~" g6 g1 i; o( X2 f#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
;push “route 192.168.10.0 255.255.255.0″
;push “route 192.168.20.0 255.255.255.0″
#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
6 a/ g; X0 n0 i9 W. };route 10.9.0.0 255.255.255.252
, r) J) H7 `3 H) w#Run script or shell command cmd to validate client
#virtual addresses or routes. 具体查看manual
+ F: J) ~% \- v: y& H" n/ ^# O;learn-address ./script
#其他的一些需要PUSH给Client的选项
#
2 }( C5 A& \- J, l/ \#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
;push “redirect-gateway”
5 i! q0 L5 G: c#DHCP的一些选项，具体查看Manual
;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
, y2 x9 N& t9 R0 R+ \0 O1 _! ~8 ~& X#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
client-to-client
. @/ Z" [0 g8 `4 J4 h( _#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
  r& ^8 o1 B# j; ?;duplicate-cn
#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
2 N7 J1 G. Y- X* x#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
% z" V; Q0 ~4 j5 B9 a#认为连接丢失，并重新启动VPN，重新连接
* _, h( y  T* b9 x+ r* U#（对于mode server模式下的openvpn不会重新连接）。
keepalive 10 120
- p1 `4 s5 u7 M+ n: e#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
" Y; T4 P/ m8 G5 G6 \! d% C- [5 R- H! n#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
, S9 x. O9 p. H+ b; X# htls-auth ta.key 0 # This file is secret
#对数据进行压缩，注意Server和Client一致
comp-lzo
( o6 w2 a, y1 q' B, b#定义最大连接数
;max-clients 100
( @3 O" N; H3 E: n#定义运行openvpn的用户
user nobody
group nobody
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-key
#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
# k1 [/ E. \- c$ ]- _#否则网络连接会先linkdown然后linkup
persist-tun
#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
status openvpn-status.log
9 ^, t- D; i: Z! ^#记录日志，每次重新启动openvpn后删除原有的log信息
log /var/log/openvpn.log
6 a8 y$ C6 b+ [: Q8 R#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
;log-append openvpn.log
: a$ b4 t$ f2 d; o& O  M8 t7 n. a#相当于debug level，具体查看manual
verb 3
' U* A5 m2 |2 a2 ?——————————-
" `0 X! \% J! R. Q( \' N0 Q5 {把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
" F' W0 @  I% K+ F, r#cd /etc/openvpn
& o% I! X& {) }. Q0 h#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
#cp easy-rsa/keys/server.key .
3 q% w8 ~, U2 M" R" X' F#cp easy-rsa/keys/dh1024.pem .
#cp easy-rsa/keys/ta.key .
! A( ?8 F6 C) F0 H  k/ P#cp easy-rsa/keys/vpncrl.pem .
/ a( H' o* h3 s5 N- {% T/ _创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
; `  `& G2 _) T' P0 d9 x然后运行：
- w( {4 S$ ^+ d" U( c& \2 b3 B! Y#chkconfig –add openvpn
% y8 |8 j  q: p' e8 v#chkconfig openvpn on
立即启动openenvpn
#/etc/init.d/openvpn start
7 V# k, \! z8 Z6 S
3 C- @, o8 f( N8 q5 z接下来配置客户端的配置文件client.conf：
# T3 Y3 g% S$ J# V# @, n) p3 ~& XLinux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
———————————-
6 d8 W$ ]/ M+ u# l. _% `# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
client
1 Y6 [3 F& e9 P2 |
. Z+ v) J; O2 H/ `#指定接口的类型，严格和Server端一致
: r; m9 B  L; z4 v. `! B8 `+ Ndev tap
- P7 Z# w. ~; x( s# E' B;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
6 B) n2 X5 p* J# for the TAP adapter.
7 ~" b% {+ e$ J1 k3 x: s;dev-node MyTap

# 使用的协议，与Server严格一致
;proto tcp
proto udp

#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字
& s6 D; B% Y% H- V6 H
remote 61.1.1.2 1194
;remote my-server-2 1194

# 随机选择一个Server连接，否则按照顺序从上到下依次连接
5 J! ]4 H! W. T( P+ k;remote-random

) Q+ U) H, H! h# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
( j/ t, j. n: Y; h" [2 R# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
3 k# f4 g) A  k, P7 t" ]resolv-retry infinite

# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
nobind
5 k$ O, T( E* M7 G7 p
. {( G7 q& N3 A, Z: H# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
9 n9 l3 P6 D& K8 u0 ^user nobody
group nobody

" g. j5 c; S4 ~: Q5 ?+ ?( }#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
+ H7 \7 M- M; u4 W0 O; A1 S#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
" y$ o4 Q: S, B& S; C# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0

& g! r" J. q) s( M/ f3 [1 n+ m# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
" g$ W* Y6 \0 ?( R! wpersist-key
+ K& X( c" U% S; F! ?& b5 G% r% cpersist-tun
& r! w% E8 }; O, T
# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
6 A  i( @' H/ {# x& Z0 n;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
+ c; {  @) V! v% {0 w  H* w* N
  O2 G7 E) q. Y' k1 j. P# 对于无线设备使用VPN的配置，看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
; W0 ^( q; s# {% a+ P: S$ r;mute-replay-warnings

# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
ca ca.crt
6 y7 W$ T9 J7 I5 q# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert elm.crt
3 d; h% H# {# a) Akey elm.key
! {7 y! @0 Q6 I( W# U3 e4 U% {# L
# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
- n# l+ F7 E" Q9 l  ]ns-cert-type server

" o: W% A" R. G5 o# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
tls-auth ta.key 1
' N. T" Y# a2 W
' m! q( y; S+ C1 v# 压缩选项，和Server严格一致
comp-lzo

# Set log file verbosity.
verb 4