openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
0 A! a# P$ J+ h+ |4 ~( D3 S: q: S+ ^—————————–
#申明本机使用的IP地址，也可以不说明
;local a.b.c.d
! \  s/ {) i8 }: `#申明使用的端口，默认1194
( D( X* L1 B) P. Sport 1194
#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
( c5 z* f9 B& {* n! @6 p#如果使用ipv6应改为proto tcp6或proto udp6
& j( @8 E  m7 P8 q% A, I3 X& B;proto tcp
3 n9 e& o( `: V/ @2 ?3 h  J# J( Wproto udp
#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
2 a' b; D' N& S0 {9 i+ J! Pdev tap
;dev tun
2 W/ p  C0 d- Y7 N# @% I# a#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
5 c0 t% S1 ~8 o6 f  h% J# q- d% Cca ca.crt
5 G& N  Z0 }8 p0 x#Server使用的证书文件
& ]+ j' k) q( `$ O1 |- [cert server.crt
#Server使用的证书对应的key，注意文件的权限，防止被盗
key server.key # This file should be kept secret
#CRL文件的申明，被吊销的证书链，这些证书将无法登录
crl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
  k+ D+ O% w, i, _  qdh dh1024.pem
#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
#这条命令等效于：
# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
  e: c9 M4 C+ E# O( Y: {$ z#
2 Q: n" P+ x# O1 N7 N2 Z2 A# if dev tun: #如果使用tun设备，等效于以下配置
# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
6 [+ j1 X& {3 y! g8 C" k9 C# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
# if client-to-client: #如果使用client-to-client这个选项
# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
# else
) v3 B1 P2 C( y9 }! \# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
#
3 c* S3 N) u7 n" A; ^# if dev tap: #如果使用tap设备，则等效于以下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
! r/ ^2 ~( _2 B  H! q$ m! f; z* V# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
& Z$ z! W, c6 s: I0 s# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
$ O& {( ~, @3 z+ O2 y( q# {) o#
% [, @: x/ c' userver 10.8.0.0 255.255.255.0 #等效于以上命令
, J1 a! ?6 W# e( m: x4 i2 S#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
: k; U9 T1 ~) D#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
! @; Z  ^3 @; J: kifconfig-pool-persist ipp.txt
4 M2 M2 F7 q+ J#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
;push “route 192.168.10.0 255.255.255.0″
;push “route 192.168.20.0 255.255.255.0″
! m% p3 D- Q7 e/ y#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
;route 10.9.0.0 255.255.255.252
& v3 E$ n" h; y& g; l5 {& x  M#Run script or shell command cmd to validate client
& w% R$ O* t8 m. U6 O7 o5 `#virtual addresses or routes. 具体查看manual
;learn-address ./script
; j* ?8 b7 I  r- I4 q# \7 j#其他的一些需要PUSH给Client的选项
#
7 ?; y# A8 T$ {" _#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
;push “redirect-gateway”
#DHCP的一些选项，具体查看Manual
. l9 s4 h: p, r# {1 F& ^. {# X9 {;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
client-to-client
! ]6 h/ T, z9 D, I) o#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
# R! w, T! @8 Y; }#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
;duplicate-cn
% F! h2 m; Z, R+ X#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
+ W  L3 ?! C9 `- |0 H#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
. A* n1 m2 M3 C* Y  ^$ I#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
* Q  C7 K8 o, c* ]  Z2 s#认为连接丢失，并重新启动VPN，重新连接
#（对于mode server模式下的openvpn不会重新连接）。
3 P' C  j5 W; T6 tkeepalive 10 120
, C1 ^* t" p  l$ ^4 F#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
: k7 h3 s, ]* E: n) f5 ptls-auth ta.key 0 # This file is secret
5 F/ C9 l# k1 F4 z0 z7 n6 P8 S#对数据进行压缩，注意Server和Client一致
$ \% X% ^9 \- T, S. Y" a5 Z( v% u: Qcomp-lzo
! }" n; I( G3 s  u#定义最大连接数
;max-clients 100
. l2 ?3 F2 Y: e( W( O; {2 I6 P#定义运行openvpn的用户
2 q& g3 l- m$ e& t0 M( }" ?- Ruser nobody
group nobody
6 x, g9 R+ E/ c2 c( O  }% X6 C: ]#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-key
#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
#否则网络连接会先linkdown然后linkup
0 `) t' b9 o" f) ?% qpersist-tun
" ^9 u  p0 B: Y! k#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
status openvpn-status.log
1 h" S: a' S  r, r7 z#记录日志，每次重新启动openvpn后删除原有的log信息
! a& z7 q# b# `log /var/log/openvpn.log
#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
;log-append openvpn.log
#相当于debug level，具体查看manual
verb 3
——————————-
把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
#cd /etc/openvpn
8 A. G3 ?/ O. }- w7 Q7 [* s#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
' U" }2 t& \; Q6 X#cp easy-rsa/keys/server.key .
- X* w# V- J0 o8 ^  r! J: a# p#cp easy-rsa/keys/dh1024.pem .
" j- g- u' @- m% y* I#cp easy-rsa/keys/ta.key .
# Y: f$ N3 q& r0 x# r' j) K- p( l+ ^#cp easy-rsa/keys/vpncrl.pem .
! y/ \% y5 k/ G+ C8 S9 G0 }" h* w% O9 H创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
然后运行：
#chkconfig –add openvpn
#chkconfig openvpn on
立即启动openenvpn
6 F. ~/ q7 l/ A#/etc/init.d/openvpn start
- O& F7 K% G1 J
' ^" i3 `- ^; Z+ i4 x5 `9 \; L/ b接下来配置客户端的配置文件client.conf：
Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
———————————-
1 n+ X! i1 V/ R7 n7 i* D+ v7 R# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
) i5 s9 l( D4 e) y; u; E$ s& nclient
6 y3 ?) M% }3 q3 `8 p) i
3 y% T2 s' x; W# y% W#指定接口的类型，严格和Server端一致
dev tap
( @- T, T1 Q% I. `;dev tun

# Windows needs the TAP-Win32 adapter name
, ^' T  l5 x" W4 i2 b7 {/ d# from the Network Connections panel
3 c9 S% l- Z9 C! [# if you have more than one. On XP SP2,
/ u$ @" X' N! p' y2 C# you may need to disable the firewall
1 A! {" Y! V8 }% i* v7 U8 ]# for the TAP adapter.
;dev-node MyTap
* k$ h8 l; a) E* o! f: }
1 j/ G2 V; ?' t4 H2 ]0 j2 e! \5 G# 使用的协议，与Server严格一致
;proto tcp
, X* O- K, `$ f# h1 v4 eproto udp

. i5 j/ M8 _- o' L#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字

$ H9 X# j: W" ?; Gremote 61.1.1.2 1194
;remote my-server-2 1194

# 随机选择一个Server连接，否则按照顺序从上到下依次连接
;remote-random
/ t$ h3 S, B- u. v* I& G/ `9 @
# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
resolv-retry infinite
+ K# S, k9 x1 U6 P6 O6 c- }
& t* l) _! a& D7 B5 V" I) j" J# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
& z$ F: Q9 r+ F3 l. O# c- bnobind

# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
" E! Q% g/ T7 H+ z% wuser nobody
group nobody

#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0
$ e/ }+ P" K! E6 T( O! i
3 s( s3 M; ~* {* q2 X5 J# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
persist-key
persist-tun
. z- _4 _0 r8 m/ Y
$ r9 e, u. X6 Q$ c# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
3 n/ v. w; t8 O! [3 v1 j
& [% ?1 F. U, a! `; ~7 \) J# 对于无线设备使用VPN的配置，看看就明白了
- Q3 |3 M" N: K% f0 c# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
; b2 ~6 V; v' s/ |' T3 N# w;mute-replay-warnings

# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
. g  x3 M- v  ]* E) _cert elm.crt
% A% M8 g; x7 L2 k! S3 x8 X3 Vkey elm.key

# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
ns-cert-type server

' }, @1 @& c% w/ a2 s5 u# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
tls-auth ta.key 1
0 p9 _- n- T  M' M( u* C, r% t' M
# 压缩选项，和Server严格一致
# A: p4 ?% w5 ~' vcomp-lzo
) |9 x& N3 P, }4 }" t
# Set log file verbosity.
  I  i: \( H3 Iverb 4