openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
—————————–
. H; b/ h( `3 \5 y4 \#申明本机使用的IP地址，也可以不说明
4 s3 B, f- i/ @' Y" \6 t;local a.b.c.d
#申明使用的端口，默认1194
port 1194
, b  T4 z9 e2 |4 I#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
) T( N" h6 E0 A: ]#如果使用ipv6应改为proto tcp6或proto udp6
5 w! E. d; Q* l;proto tcp
1 a+ l# x: k6 r: G5 hproto udp
#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
dev tap
;dev tun
#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
ca ca.crt
% w1 Q5 i. Z' d) }#Server使用的证书文件
- }. D7 f( a5 w( e! o: A- O% Icert server.crt
#Server使用的证书对应的key，注意文件的权限，防止被盗
key server.key # This file should be kept secret
8 C, B$ R2 t3 C3 ^5 h+ R! m8 P#CRL文件的申明，被吊销的证书链，这些证书将无法登录
crl-verify vpncrl.pem
2 w7 z( Y8 r% Z9 q; G$ |: V8 l5 \#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
  A. r6 k/ p; n- n" [* c8 g2 e: R#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
#这条命令等效于：
& W- _; v+ M5 H# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
7 A0 e0 e% d3 h( J3 f0 P6 v# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
" b' z  ~. J2 P- |, I' E#
9 c7 V5 ~1 G$ X: ]- Z9 T# if dev tun: #如果使用tun设备，等效于以下配置
8 P. Y+ o) l8 l5 R% Y' V# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
% R' ~0 a2 f, G5 e2 w# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
# if client-to-client: #如果使用client-to-client这个选项
# ~5 q/ _# g4 c7 c2 b9 |# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
# else
- T. P6 h) N* j0 E# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
0 g" D. s- U8 H0 V  F" i#
. a# H5 _+ \/ N# if dev tap: #如果使用tap设备，则等效于以下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
$ n  U7 s; I1 O# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
; _) w. v# x1 O1 u# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
#
server 10.8.0.0 255.255.255.0 #等效于以上命令
) i8 @: P7 y( ^) l1 S7 q7 v#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
, b( |0 c# _( m#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
$ Z& S  l4 B& m. I: \# y8 \ifconfig-pool-persist ipp.txt
#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
: i# O8 w% z1 S- F/ Y, u0 D;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
% s0 }, U# E$ a/ V3 ]#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
4 U6 V( Q* J% `, U- L$ P;push “route 192.168.10.0 255.255.255.0″
;push “route 192.168.20.0 255.255.255.0″
' z5 h( q; b1 r: @6 ?# j! v1 y+ A* S#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
7 @, [3 A8 s7 ~& [6 i) p;route 10.9.0.0 255.255.255.252
1 y5 b+ V4 J9 N" R- d: u#Run script or shell command cmd to validate client
#virtual addresses or routes. 具体查看manual
  b6 u6 T! c" L/ ^% _; y' m;learn-address ./script
#其他的一些需要PUSH给Client的选项
- @( U3 b7 \4 [! Z' K#
#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
;push “redirect-gateway”
( I4 ?7 x6 p. m) [#DHCP的一些选项，具体查看Manual
;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
client-to-client
#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
7 g6 h7 `# f; p3 @, M# [;duplicate-cn
#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
: |" L% u" M/ |% {' a3 C% W& e9 t2 [#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
#认为连接丢失，并重新启动VPN，重新连接
#（对于mode server模式下的openvpn不会重新连接）。
/ |1 G* v$ z7 ]4 |  c( |( Ekeepalive 10 120
#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
, T* W( l) _( N( ttls-auth ta.key 0 # This file is secret
: P5 Z3 y( Q0 a& M#对数据进行压缩，注意Server和Client一致
* |3 \  Q4 S" X7 v# V& hcomp-lzo
, s6 [/ p4 h' V9 c! c+ P2 z#定义最大连接数
;max-clients 100
4 J5 l3 o( S# j9 Z1 V- }#定义运行openvpn的用户
user nobody
group nobody
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
9 f& n( g" ~4 x% V: [! p6 ^persist-key
9 Q9 y% F  y* i% Q& J#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
#否则网络连接会先linkdown然后linkup
/ D' ?, H# L1 ?1 o1 Tpersist-tun
#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
* x* e! b: C$ t, Hstatus openvpn-status.log
#记录日志，每次重新启动openvpn后删除原有的log信息
0 o) D5 H& ~; Slog /var/log/openvpn.log
9 M5 v$ v  X2 G& e$ y#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
0 y2 p# V& B- e4 t;log-append openvpn.log
0 B7 l+ K# B9 r2 n$ ]9 |8 e. V#相当于debug level，具体查看manual
verb 3
  ?7 Y# B: j# m" f——————————-
把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
#cd /etc/openvpn
#cp easy-rsa/keys/ca.crt .
# }5 r7 A3 {1 l2 R  u4 @6 J#cp easy-rsa/keys/server.crt .
4 |8 t$ H& X$ M9 z3 s5 Z! E#cp easy-rsa/keys/server.key .
# R5 X+ {: \8 U% Y+ x#cp easy-rsa/keys/dh1024.pem .
# i. V+ [8 ]! e3 O#cp easy-rsa/keys/ta.key .
#cp easy-rsa/keys/vpncrl.pem .
) N) _" t8 ]8 h# b' y3 u) T创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
然后运行：
#chkconfig –add openvpn
% n# f0 j# c4 Q; }* j' u#chkconfig openvpn on
9 M, `% P" l# {; {, K8 C$ _立即启动openenvpn
#/etc/init.d/openvpn start

接下来配置客户端的配置文件client.conf：
Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
  H) w* a- u( A8 }& ]' B———————————-
& F- @0 R: Z4 i7 n9 {% ?# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
client
1 m# ~7 U. r0 A; n3 d$ J4 T( j
4 H7 S* T. ^* P7 K; C0 |#指定接口的类型，严格和Server端一致
dev tap
8 @# F4 }# J0 ^( `1 o;dev tun
8 p" J3 s# w  d8 N3 W; w4 g
& g& N$ H7 x3 B; X4 E0 T% t: S# Windows needs the TAP-Win32 adapter name
, k- Y9 }# f) K: B# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap
1 V3 g# V: y/ ]
" J+ ^, z: H* z  w4 t# 使用的协议，与Server严格一致
;proto tcp
3 F- a) r, M& Lproto udp

#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字

remote 61.1.1.2 1194
" c) |; k5 u1 ^, Z# d, z) J/ w;remote my-server-2 1194
: C; l# Y6 n+ x4 a% L! C( t
  J" \4 z# t. v% u# 随机选择一个Server连接，否则按照顺序从上到下依次连接
; x4 ^- ?7 D' N& i;remote-random

6 ~7 t8 i9 j( a! n# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
) B: ?% N) y' }- v9 X$ E+ a# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
resolv-retry infinite

8 ~3 T3 B* T! v, D# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
nobind
) }4 H1 _3 J' Z6 }
8 m) J0 N6 J7 \' r9 U% P' z& I3 {# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
5 \8 W8 J+ G8 K1 a! k) ~7 g' _: nuser nobody
8 a6 z& e* B" W5 |6 J2 Fgroup nobody

#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
. s. a& u+ v$ L$ r#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
# X- ^0 f3 d4 T2 F, S5 k; f$ K# push “route 192.168.0.0 255.255.255.0″
: S6 c( v/ m( a6 j9 z; j. e  xroute 192.168.0.0 255.255.0.0
+ e$ r: `: h, S% P7 F( u$ X5 y
# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
persist-key
persist-tun
: z( x8 V7 U$ L1 l6 C) k
1 l2 _# h! u+ Q! G* C( X* a# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
! c( A* v: Y6 |" v;http-proxy [proxy server] [proxy port #]

# 对于无线设备使用VPN的配置，看看就明白了
: E" h& S/ [0 U# N' }5 R  }# Wireless networks often produce a lot
2 R! B  D8 c! h7 w. n# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
1 Y+ p5 \' F0 s; S/ E1 Z4 zcert elm.crt
key elm.key

# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
4 p' k/ q# Y" c4 e# 因为他们的CA里没有这个扩展
ns-cert-type server

" Q' n, M: D* x  M# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
. ^+ s0 R, @* T+ M( W( Qtls-auth ta.key 1

# 压缩选项，和Server严格一致
comp-lzo
! K3 x9 n4 \0 |& a! {3 m
( G4 |- M, ^- H# Set log file verbosity.
  z' P$ |& W, Z* dverb 4
" a; k2 n& C3 f& U6 e1 E