openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
—————————–
; H+ _% F9 a8 C7 v#申明本机使用的IP地址，也可以不说明
;local a.b.c.d
#申明使用的端口，默认1194
port 1194
' b! K; ], G- I#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
#如果使用ipv6应改为proto tcp6或proto udp6
5 _, h: s" f' ^5 a/ H2 g;proto tcp
1 ]% y! {6 v+ ?7 P6 O+ }proto udp
1 |% `, s$ c( \#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
/ c$ F# f, ~/ g! G0 A8 x; _#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
dev tap
;dev tun
+ p' Q/ n4 p" o1 T8 I# R#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
( ~) b( D/ Q5 J' y/ \ca ca.crt
#Server使用的证书文件
8 a" `) V0 b4 Q8 a1 @8 ]4 ^5 \+ xcert server.crt
. a- H+ `3 V( h6 j' r#Server使用的证书对应的key，注意文件的权限，防止被盗
key server.key # This file should be kept secret
- L' J6 z6 I- H#CRL文件的申明，被吊销的证书链，这些证书将无法登录
* W/ \/ p% }7 v: acrl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
( \" |) {( Y+ O0 W#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
& q/ x4 b% q# m: r#这条命令等效于：
0 s( O! P2 H2 Q" v5 B3 ]" X6 G# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
; i& D. K! l' ~1 ]# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
& N; \3 g3 p# D* x; T6 ~' L#
# if dev tun: #如果使用tun设备，等效于以下配置
# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
' r3 T! q6 t: }8 B" Z( x# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
# if client-to-client: #如果使用client-to-client这个选项
4 T0 i- T4 |2 V( |) ~# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
# else
# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
9 W$ I* o) g* W" l#
+ s1 ^3 r+ X8 p$ W; e* {# if dev tap: #如果使用tap设备，则等效于以下命令
$ Q9 W% c4 y* [. F# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
#
server 10.8.0.0 255.255.255.0 #等效于以上命令
#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
, k! g% v2 c' c% G; A  e# G#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
6 E& g: u- o' G( m; M; P' }ifconfig-pool-persist ipp.txt
* D- Z# D4 H0 M# Q2 Y3 r#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
, j* t& o+ _2 J6 a4 B- S;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
6 q$ T( t6 C! k: A1 m;push “route 192.168.10.0 255.255.255.0″
;push “route 192.168.20.0 255.255.255.0″
#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
;route 10.9.0.0 255.255.255.252
" Q( x3 q4 r: ^5 b! D* c: P#Run script or shell command cmd to validate client
7 V% C8 W4 \9 i& c8 r#virtual addresses or routes. 具体查看manual
2 r( f1 n8 ]. q- r2 g' l, H1 \2 j;learn-address ./script
3 H2 y" N' a. z#其他的一些需要PUSH给Client的选项
#
#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
;push “redirect-gateway”
- x8 d, _& M& y+ y) t! V#DHCP的一些选项，具体查看Manual
# s9 B! w, b8 V" \, \/ S8 e;push “dhcp-option DNS 10.8.0.1″
. w, t( M0 \9 p; M4 q5 R7 I;push “dhcp-option WINS 10.8.0.1″
8 }' J& l: q4 [) v7 J3 h#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
- `6 H( I1 v, _8 g3 ~/ U- F+ e) P#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
9 l7 T& F4 I. O. `, d7 Y, uclient-to-client
#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
( \2 r- N5 S* a, `& N#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
3 ?- Q3 Z$ u4 u9 E# b) g3 h;duplicate-cn
#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
3 p6 `/ \, Z1 a9 N' U0 j) q8 e#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
: w5 N0 V  O/ a8 i: n#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
#认为连接丢失，并重新启动VPN，重新连接
- u; K( [1 s& ~3 W#（对于mode server模式下的openvpn不会重新连接）。
! r+ L6 i3 Y. K3 wkeepalive 10 120
#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
0 D, H2 G! }& U/ Gtls-auth ta.key 0 # This file is secret
+ {6 M+ I" d/ L; K) h2 c2 C- M6 u( u#对数据进行压缩，注意Server和Client一致
comp-lzo
#定义最大连接数
;max-clients 100
' z, S/ b7 `, B- ?#定义运行openvpn的用户
* Z$ y3 U2 U" ~- |! I6 ouser nobody
" H) O+ H' S2 O# H  rgroup nobody
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-key
#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
#否则网络连接会先linkdown然后linkup
4 [' F$ p4 @8 b" K% j3 |persist-tun
#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
status openvpn-status.log
' s7 S' ?) r2 t5 R: P; u#记录日志，每次重新启动openvpn后删除原有的log信息
log /var/log/openvpn.log
+ b; a3 O3 G+ A" P+ O#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
( P, S3 a3 Y; R0 U;log-append openvpn.log
0 c) C7 S/ r* q* }) Y#相当于debug level，具体查看manual
verb 3
——————————-
# l# c5 {) P. x9 |把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
1 P5 \9 q% Y- @9 U. T#cd /etc/openvpn
) |5 p' a: b1 ~9 w9 |9 O& n#cp easy-rsa/keys/ca.crt .
% v0 [+ i& Q& b& {2 [: m1 _# e#cp easy-rsa/keys/server.crt .
) K* y% [! @! v5 }1 u) Z#cp easy-rsa/keys/server.key .
#cp easy-rsa/keys/dh1024.pem .
#cp easy-rsa/keys/ta.key .
#cp easy-rsa/keys/vpncrl.pem .
创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
然后运行：
#chkconfig –add openvpn
; S% x: E$ K: B' _7 u( t#chkconfig openvpn on
2 P% E% ]9 W. _) u0 z& D立即启动openenvpn
  n0 P3 `( f: u: D0 ^, e#/etc/init.d/openvpn start
( g# y: Y4 N# V% i2 J  S* F
接下来配置客户端的配置文件client.conf：
+ a, u/ A: X$ i1 W& h( g" wLinux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
———————————-
# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
7 B$ b! ~* s! r& R* h4 Yclient
/ ^5 O5 i& ~) s# P- z$ K$ F6 ?
#指定接口的类型，严格和Server端一致
dev tap
- ?- K- t. O6 `;dev tun
* F" Z8 `+ k% C
. k3 m! r$ e. I$ S7 m# Windows needs the TAP-Win32 adapter name
" {# s: ~' J4 w# from the Network Connections panel
' O$ v! I; A- l, h/ Q+ U# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
- q' A* d3 r& x* Y- l;dev-node MyTap
* O5 n5 f! E1 y# h6 j, f: P
% b5 n6 y4 m/ c# 使用的协议，与Server严格一致
* i" P0 b$ k  Y% `0 b% S" ^7 h6 E;proto tcp
1 Z# a4 I, i$ `" m% kproto udp

#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字

# S' ~8 I# X' y* m! c9 I9 S7 R. lremote 61.1.1.2 1194
;remote my-server-2 1194

! V# G6 N. I; l# 随机选择一个Server连接，否则按照顺序从上到下依次连接
;remote-random
7 _/ t" V' a1 V+ b# [
0 ^4 q7 j; K, N6 I+ b# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
8 r7 N  a& \# U" C0 J4 C8 t# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
* I9 K1 ?0 @& bresolv-retry infinite

9 C5 y; g! E  }4 J# ]; x; k# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
nobind
- k+ F+ W6 }: ?  n! e# h& |) b
# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
0 x# Y8 m; `0 nuser nobody
, K3 G) x& O% I6 g3 egroup nobody

#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
& t3 H& W+ ~$ n#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0
5 e5 n! N& O0 H& g0 h$ f
# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
persist-key
) h) p2 A$ h8 s5 J8 E9 [6 Upersist-tun
6 ]. V2 H! k) S, Y% A$ ^  R
# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
, ^3 A$ E2 G: [# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
/ n4 V1 D6 }; q/ M# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

5 Z0 ]* B- g, S& H* d/ {# 对于无线设备使用VPN的配置，看看就明白了
4 [  f+ G/ R$ J& n# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings
) e  h5 Z2 l. r" a6 D! J5 O& `, ?& }
# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
ca ca.crt
8 n* O, U& W/ Y& p4 d# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert elm.crt
key elm.key
4 K" J7 y1 r) m4 s( H! V; M7 S
# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
/ D% j7 M  y" [$ w# 因为他们的CA里没有这个扩展
ns-cert-type server
" Q. O" J5 A7 v, c! ~
6 g' ~' h/ x  O4 I5 }" C) f7 i2 g# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
: i6 i9 s/ [- r6 h/ h3 ?! atls-auth ta.key 1

# 压缩选项，和Server严格一致
comp-lzo
$ v' `( |. s0 j) j  b( A
+ G8 E% w% w( S# Set log file verbosity.
# q5 f: b- c5 a& R! S$ pverb 4