openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
  O- ^; m% {1 D5 `4 u—————————–
#申明本机使用的IP地址，也可以不说明
$ e& z6 j$ U5 V7 i4 }0 g& p;local a.b.c.d
#申明使用的端口，默认1194
port 1194
, g6 ^! L+ W/ j. Y#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
1 F& v0 D# X7 n$ R, h#如果使用ipv6应改为proto tcp6或proto udp6
4 Z6 ~1 y4 D( a& G9 q4 T;proto tcp
1 Y0 Y5 h, Z7 h; }4 H3 fproto udp
& A& F2 r2 I& a, ~#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
. j" M% T9 j' g3 v$ w$ |#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
dev tap
;dev tun
, g0 y5 B% u1 x  J#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
ca ca.crt
8 l+ f& X2 s4 _" f#Server使用的证书文件
, t8 t8 [' F# [) X2 J7 G( Gcert server.crt
2 h6 d; x" ]; F. J3 j  O#Server使用的证书对应的key，注意文件的权限，防止被盗
5 T% k0 O9 t/ e/ l1 ykey server.key # This file should be kept secret
#CRL文件的申明，被吊销的证书链，这些证书将无法登录
crl-verify vpncrl.pem
/ i5 g! _; `9 }6 ?1 m7 N) l#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
( w/ I1 p% r7 y$ I- p$ c#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
+ V7 B) P8 ]2 S/ N- G) G#这条命令等效于：
# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
# _7 d( Z8 F! h) b#
% }: d3 D( x1 [2 R. w& K# ]0 E# if dev tun: #如果使用tun设备，等效于以下配置
# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
, f; b4 _( X$ i/ Y: \2 [# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
- B* {6 p; v0 s- J* n9 }# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
# if client-to-client: #如果使用client-to-client这个选项
( Y: \) |& l( o2 N7 y: Q# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
# else
) Z6 q0 c" L* @9 C+ q! C  b9 L# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
#
# if dev tap: #如果使用tap设备，则等效于以下命令
3 x' A, D: [3 \  D0 H# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
$ M9 }5 \% A8 s0 ~# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
#
server 10.8.0.0 255.255.255.0 #等效于以上命令
: j' x% L0 [9 K$ a" R6 r#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
" H& J" B, V' s' x) u  P+ Z7 @ifconfig-pool-persist ipp.txt
, f0 y8 f( A0 t1 u  F9 U#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
0 E3 V  Y; ]" T' \+ h( x  W* k, g;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
& u3 C* y- n! b6 F# n; \! ?#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
4 \: f; m. n4 @* s;push “route 192.168.10.0 255.255.255.0″
0 {& d& _6 w7 \6 F. U3 I+ x;push “route 192.168.20.0 255.255.255.0″
#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
' l& x+ m( {% T9 o: ~#virtual addresses or routes. 具体查看manual
' z2 z0 _+ W* q( }% ~;learn-address ./script
) Q' F8 D( s  b# V: H/ }( {2 S#其他的一些需要PUSH给Client的选项
+ q/ E" B  I, F#
3 ]# v3 s8 N- r#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
, b8 E3 E: V% @6 D! C9 p+ L;push “redirect-gateway”
4 {, p  p# j; n! _5 |#DHCP的一些选项，具体查看Manual
) ?  ~0 `: R: Y  Y;push “dhcp-option DNS 10.8.0.1″
# S4 }- p! a, @: B5 j+ U;push “dhcp-option WINS 10.8.0.1″
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
client-to-client
#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
1 w: n2 v8 J0 Q& b% C+ ]+ h* D9 C#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
: Y% C5 [/ c3 e;duplicate-cn
#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
, {, w" U* e8 P. t! U#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
#认为连接丢失，并重新启动VPN，重新连接
#（对于mode server模式下的openvpn不会重新连接）。
keepalive 10 120
; P! G* J. O5 }#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
2 K$ M8 h* v3 Itls-auth ta.key 0 # This file is secret
#对数据进行压缩，注意Server和Client一致
comp-lzo
#定义最大连接数
5 Y8 X; `% U& f+ s;max-clients 100
#定义运行openvpn的用户
user nobody
group nobody
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-key
  ]' X# C8 `! Y$ w1 R. |$ [#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
, _: S3 R7 C8 d#否则网络连接会先linkdown然后linkup
- j0 a% R4 g4 D1 Vpersist-tun
% ^! y& T  @; `( e  Z* Z  u  L! |4 K#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
% ]! u& p, E9 K2 M* J" O, Ustatus openvpn-status.log
#记录日志，每次重新启动openvpn后删除原有的log信息
+ V* }$ y# }& y) glog /var/log/openvpn.log
#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
0 y5 Y* L2 d+ R" u# N;log-append openvpn.log
! k& a. e9 Z. g) K8 u! [; U* V# U% f+ a#相当于debug level，具体查看manual
' v" a5 n; k0 y0 f6 _verb 3
, y9 s$ o) |* C$ {9 P) X& R' w" ^——————————-
把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
4 t) C4 q1 U2 w) N#cd /etc/openvpn
4 l" G# l; ~# O, Z7 A1 d4 ?; I#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
3 C' ]5 T5 r8 @" }1 W1 h#cp easy-rsa/keys/server.key .
5 p. o, P0 ]8 x: g+ P2 l#cp easy-rsa/keys/dh1024.pem .
; N) d6 N& V9 {& L' `; |#cp easy-rsa/keys/ta.key .
6 x6 h) K& @+ l8 r#cp easy-rsa/keys/vpncrl.pem .
% k# K: z9 j# H4 N. W; M创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
然后运行：
% Q( k+ L3 p2 \5 A; k3 r#chkconfig –add openvpn
$ G+ d. c/ E( ~- J- j#chkconfig openvpn on
立即启动openenvpn
#/etc/init.d/openvpn start
  A! w2 q& I3 V: k- V/ C. a$ x
# B8 K# A# ~- f! Q2 }4 l. s接下来配置客户端的配置文件client.conf：
Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
———————————-
9 W7 \3 o% [; k; w  Q/ a# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
7 t+ l: `) C! j5 iclient

$ H4 U$ M6 _) T#指定接口的类型，严格和Server端一致
dev tap
;dev tun

" z! r: v9 `# a& u5 B1 C# Windows needs the TAP-Win32 adapter name
3 I: ?" w  F4 \; D, H1 {1 b5 z# from the Network Connections panel
# if you have more than one. On XP SP2,
& ?- m# _$ I( U7 i; ?+ F# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

9 o* {2 |8 d8 C& e4 T8 i# y# 使用的协议，与Server严格一致
5 S9 ~$ ^  n  ^;proto tcp
proto udp

#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字
; @$ ]1 P. p* t$ o7 L( j- b. N; k
remote 61.1.1.2 1194
;remote my-server-2 1194

# 随机选择一个Server连接，否则按照顺序从上到下依次连接
;remote-random

# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
7 b" a9 |4 m, B/ C5 J/ C# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
) @0 W, |- R3 Y$ o0 Z+ Gresolv-retry infinite
% i2 x! }$ C# b( m: J2 K3 n
) w2 S5 O- `( D3 ?$ x2 a3 z/ W  j# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
9 i( H/ o1 p6 X0 _nobind

; Z$ i6 N$ N8 t# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
/ b! ~5 G6 t: c$ V; K* P3 l* z4 m% Buser nobody
group nobody
% N9 l8 A4 C3 H" w$ u. C8 y
#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
; z, J6 J; U& E$ [/ @! U% X# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0

# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
; k+ B' [  _, f+ v; b: M/ Fpersist-key
persist-tun

& |7 x1 k. Y" D. E" k2 d1 l# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
, }8 G3 o: e/ g) y) `7 \# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
6 Y( B* c' L8 q. ~
# 对于无线设备使用VPN的配置，看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
+ }  V% P% }2 i# to silence duplicate packet warnings.
/ i; m9 K' Z  E) ?) m2 T: t& [, o;mute-replay-warnings

# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
( O, m, x5 q2 u8 o/ Aca ca.crt
# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
  Q0 }) {/ v% I) scert elm.crt
) f: L0 n: w( |1 }key elm.key

# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
* L" n  ~* c4 f' p9 j& {8 n4 ~, E' D# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
. |4 m3 ]0 n8 A+ N, H# 因为他们的CA里没有这个扩展
  Z5 K+ _; i4 @+ f  c! O0 W# hns-cert-type server
  _0 s8 ~, W+ M' M7 G) m
6 r( I7 @! ]% E. M# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
2 p' u0 o4 W! h% S- ~8 U7 Atls-auth ta.key 1

5 u* H: H; R3 N! Z, o# 压缩选项，和Server严格一致
( C- w6 K9 N  n. y) Bcomp-lzo

( q# |1 `2 w" Q. y1 Y- z# Set log file verbosity.
3 E/ Q& ?, Y0 h) X  {3 h: rverb 4