openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
1 R, {9 d! }" E# o( u& l—————————–
#申明本机使用的IP地址，也可以不说明
;local a.b.c.d
#申明使用的端口，默认1194
port 1194
#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
#如果使用ipv6应改为proto tcp6或proto udp6
6 e! E6 D7 G# `8 f, C' F4 j4 d# l;proto tcp
proto udp
#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
+ \) D9 X& R0 Adev tap
$ |3 i0 e5 T+ {! U;dev tun
) h( F$ T5 X6 q#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
ca ca.crt
#Server使用的证书文件
/ c! ^2 w+ D, o$ x0 L7 |cert server.crt
+ s4 |8 U" E+ J; S3 A9 j#Server使用的证书对应的key，注意文件的权限，防止被盗
6 K% H* c: U2 P) z1 P7 e# vkey server.key # This file should be kept secret
#CRL文件的申明，被吊销的证书链，这些证书将无法登录
* s: E( x+ A! Y  ccrl-verify vpncrl.pem
% y- i1 r7 l1 L4 N. Y7 q6 {#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
  _: ^# w# R& O#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
#这条命令等效于：
3 O% ~' j4 }& c# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
#
5 H7 S4 p" U0 |9 ]# if dev tun: #如果使用tun设备，等效于以下配置
' V# K1 D. [. P% C$ h) j. o0 z# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
" s, j) _! Z0 P! G& y# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
* D1 M8 z* G" {# if client-to-client: #如果使用client-to-client这个选项
& q; `$ d3 Z0 g$ ?& F- J# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
& M9 u% I5 a9 w$ k- T  d6 p# else
# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
#
; ^( X# w# z/ b0 T# if dev tap: #如果使用tap设备，则等效于以下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
, ?, R3 K! n3 G: m# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
#
server 10.8.0.0 255.255.255.0 #等效于以上命令
  x& p) x  s4 ^8 o" n#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
6 z$ E9 i5 v; l* H* ~; O- D) C#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
! o" q4 f0 ~% A) }3 r# Z, `;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
1 E0 g; L, ]/ p, T: ^#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
+ I8 S8 a* ^2 P/ `2 a;push “route 192.168.10.0 255.255.255.0″
* x) ]7 o0 T7 d  u: z, Q7 d;push “route 192.168.20.0 255.255.255.0″
% v) P* N6 X, \/ @  [; Z" w# K#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
& I5 ~% w0 z' Z" N;route 10.9.0.0 255.255.255.252
8 S% }/ A$ T* v. P#Run script or shell command cmd to validate client
#virtual addresses or routes. 具体查看manual
1 t! F' Q. c6 t7 t;learn-address ./script
#其他的一些需要PUSH给Client的选项
. z- \5 L" k! p- r- v#
5 r; g$ B. H" ~; C+ t#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
" D3 [  D2 y  g;push “redirect-gateway”
#DHCP的一些选项，具体查看Manual
;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
3 }+ Y' ?& }% x% u2 M; X' I8 k#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
' ?2 i# Q8 M- N2 q) uclient-to-client
2 p, J, t$ p/ `  ~" _#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
;duplicate-cn
#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
: L5 F" d; t! T- t" D: _- N& W#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
4 N/ t$ W- {+ ]# Q( K3 g; t#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
: ~4 ]9 l# o: S0 K5 t0 ]#认为连接丢失，并重新启动VPN，重新连接
- F$ I+ v. I. u#（对于mode server模式下的openvpn不会重新连接）。
: \: y8 |( K" R1 r6 E! zkeepalive 10 120
#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
tls-auth ta.key 0 # This file is secret
- A' O) k, s" i  I% n) U#对数据进行压缩，注意Server和Client一致
comp-lzo
! n" ^# w* y1 d  s2 h#定义最大连接数
/ C. N' @, w+ b: ^# u9 @;max-clients 100
#定义运行openvpn的用户
; `( Z' v% C4 A4 _+ duser nobody
group nobody
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
& u8 d. R1 U3 p" Mpersist-key
' R7 w) j* [1 Z6 [#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
8 V; d5 B1 r! b2 V/ q# C#否则网络连接会先linkdown然后linkup
% Q; y, X* d( u1 j' r3 Opersist-tun
#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
status openvpn-status.log
#记录日志，每次重新启动openvpn后删除原有的log信息
log /var/log/openvpn.log
( W, L5 i1 E3 _4 O#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
  j( X( A! d* s) a! M, H/ u2 E;log-append openvpn.log
% o; d/ i( P7 m! Q) J6 w  c5 a#相当于debug level，具体查看manual
verb 3
& v& J/ ]* G6 G/ z# q1 s——————————-
. n5 _$ C# a$ I. ]把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
#cd /etc/openvpn
#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
1 ~' y6 ]# @- Q* h  h/ [#cp easy-rsa/keys/server.key .
( O, _4 w# U7 c; Y0 H4 b7 A9 C#cp easy-rsa/keys/dh1024.pem .
#cp easy-rsa/keys/ta.key .
#cp easy-rsa/keys/vpncrl.pem .
创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
然后运行：
#chkconfig –add openvpn
1 a! F! Y: |" _4 a4 Q9 B- G#chkconfig openvpn on
立即启动openenvpn
#/etc/init.d/openvpn start

& R: Y5 Q3 p. }  ]: L& f+ K7 ^接下来配置客户端的配置文件client.conf：
Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
2 l: v& ^) i8 r6 d$ J) v2 F———————————-
+ \2 Q7 H( C1 Z' y5 Q% v# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
9 T# H( |+ }( q* D, n! C3 ]7 fclient
1 O2 w3 d, ~, v0 `- f+ e
#指定接口的类型，严格和Server端一致
dev tap
2 L( X1 T4 z: h8 j/ t- v7 [;dev tun
) h" p! W3 _5 W  s8 h$ Y
0 z: r$ u) J4 T, }/ y# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
$ ~7 \9 J- R, t6 l# you may need to disable the firewall
: r* H- H: S2 ]# for the TAP adapter.
;dev-node MyTap
" [8 A6 @. Y0 s  A, Y9 {8 ~7 A$ N
! ^; ^. Y% Y- C- g9 @, h% U# 使用的协议，与Server严格一致
2 d: U5 v3 p4 ?( `4 Y; m2 h* R;proto tcp
, S* x  x2 L, e! p& b5 L6 Wproto udp
7 U; x! k+ J+ I( Y+ X# g3 J
#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字
6 [+ R# z# n6 @- }% l
remote 61.1.1.2 1194
;remote my-server-2 1194

# 随机选择一个Server连接，否则按照顺序从上到下依次连接
/ J; t) f0 ^& @1 ?8 f. j;remote-random
  y) M% w$ J8 G3 ~3 {
! G% {& Y- t. m, c8 L3 l# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
) B: ]4 D. G8 T, y' n$ b! xresolv-retry infinite

# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
nobind

# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
5 A- x& ~4 Y* N$ V1 v8 ^8 quser nobody
/ E% P: H+ j: Ugroup nobody

#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
* O$ _: D: @3 t' T#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
7 ]+ Z! [& X0 P3 H9 Q: u# o# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0
6 v5 u: P9 j! @0 P
. E3 h" l& r' ]' S$ P4 _# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
. ~7 b% I. Z+ f0 Q( a( s  @2 Upersist-key
1 m8 L4 `+ Z% q& epersist-tun

/ [3 S  Z$ x- X! L7 o& ^7 T# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
! v% a; O/ X2 E1 D; L& r8 }; `/ S;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# 对于无线设备使用VPN的配置，看看就明白了
5 V" j) C- S& J) a) |! [' u# Wireless networks often produce a lot
! z# o! P) m! U# of duplicate packets. Set this flag
$ ~: s: L* I  a3 e4 ^. P+ h6 F: |# e# to silence duplicate packet warnings.
# l: f8 x( a% E; Y, A;mute-replay-warnings

# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
5 G9 Z( X0 d( Y0 \ca ca.crt
# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
% n; D9 ^+ z& w$ j' rcert elm.crt
key elm.key

# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
; ?5 o, Y1 G5 p. \& ins-cert-type server
/ K9 w( N* |& i& `0 L1 c7 V
# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
0 @; T. W, o; E; }$ W6 b1 G7 t, v% Mtls-auth ta.key 1

# 压缩选项，和Server严格一致
comp-lzo

. M4 Q7 _' A* {! S; W( C) {; R' e( {# Set log file verbosity.
verb 4
3 C, _( c* f1 j. U% n) y