openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
5 d7 s" b, v& N—————————–
" X9 M# |% ~& B* F#申明本机使用的IP地址，也可以不说明
0 ~  n# w! P, x+ l;local a.b.c.d
#申明使用的端口，默认1194
" D9 t) |0 e) Eport 1194
, C; ~/ }- T( b4 Z5 R8 e0 B5 N#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
8 ?/ ?$ q9 X+ B: v6 W4 |: @#如果使用ipv6应改为proto tcp6或proto udp6
4 I, s; b' y$ f' u" B;proto tcp
proto udp
- H6 [! M: x, S) x#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
, {& m3 C: m% k: M) }* Y& a#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
dev tap
. \: q% U. `  C2 B;dev tun
& B/ M9 _/ b, X; |, s; f& ~#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
) u+ y+ x# A9 T% u: }ca ca.crt
: m7 @  z( a9 q. e7 ?#Server使用的证书文件
cert server.crt
#Server使用的证书对应的key，注意文件的权限，防止被盗
9 L+ L  t1 j2 G5 Z6 t& Vkey server.key # This file should be kept secret
#CRL文件的申明，被吊销的证书链，这些证书将无法登录
crl-verify vpncrl.pem
6 ?0 C9 O3 I: h, v#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
% u) w9 a( h$ H8 v: E5 n#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
- \/ O+ p5 q) E8 `0 n5 E6 F2 ]7 }#这条命令等效于：
5 }9 h6 P" l1 a; f  N/ R# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
' M9 u: i+ q+ \0 M1 [1 u3 M9 y( E* u# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
#
# if dev tun: #如果使用tun设备，等效于以下配置
# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
! |4 f# _% V# x) [9 P# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
, K4 A& ~+ r7 r) w" h- g: h# if client-to-client: #如果使用client-to-client这个选项
# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
5 q" z& W% Q: p- q- O8 [; T# else
' W1 E6 `9 v8 _4 t# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
#
7 z5 Z9 n9 V: c2 c# if dev tap: #如果使用tap设备，则等效于以下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
( y/ Y2 r8 v8 n9 g3 v' L2 X# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
. N9 t" t5 R  U( w. u3 `) E#
* c; w* d1 |  y9 H4 hserver 10.8.0.0 255.255.255.0 #等效于以上命令
! i5 Y' t, Y9 ]& T9 ]% o0 Y#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
5 @0 m  v" l8 s: Oifconfig-pool-persist ipp.txt
" g* e" ~) `: x#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
+ v6 u: h$ M& q' P/ Z8 p7 h0 M#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
# v, N. M' ~2 ~4 R- Z! k3 O;push “route 192.168.10.0 255.255.255.0″
+ g; j, d$ _, Z2 r7 i;push “route 192.168.20.0 255.255.255.0″
6 a( i0 z+ e" ^$ e#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
#virtual addresses or routes. 具体查看manual
' v2 S7 z5 m- K7 m% ];learn-address ./script
" P, j8 N% h, p; M3 h0 \/ u#其他的一些需要PUSH给Client的选项
, n, \3 T' a5 R2 C) h) s6 E" n#
$ C! ~( M9 C' s' S) V' ~#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
3 w- ?! L8 `. T3 @  b;push “redirect-gateway”
& i4 k% D8 A: |" q$ Q5 q! ~#DHCP的一些选项，具体查看Manual
0 N% {4 U8 `+ h, C- G;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
client-to-client
#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
;duplicate-cn
( L8 j+ z# V1 @#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
#认为连接丢失，并重新启动VPN，重新连接
#（对于mode server模式下的openvpn不会重新连接）。
, d, `! D5 w, F1 e! {3 ?1 O% m% Hkeepalive 10 120
( E( P( v% u' v2 l+ ^#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
tls-auth ta.key 0 # This file is secret
#对数据进行压缩，注意Server和Client一致
comp-lzo
' W. h. y$ `$ k; `% u#定义最大连接数
, @/ O+ p" d' b1 u( }/ D;max-clients 100
; y8 Q4 D1 U7 T- y' v5 i#定义运行openvpn的用户
user nobody
group nobody
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
3 r. u' O5 v; T. Upersist-key
7 k% ]9 j& |6 ]2 r4 m$ s: {. a, _#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
#否则网络连接会先linkdown然后linkup
persist-tun
#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
status openvpn-status.log
#记录日志，每次重新启动openvpn后删除原有的log信息
3 z/ A2 l5 u1 q0 V3 vlog /var/log/openvpn.log
#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
" c3 T3 v9 O8 s; G- g- F;log-append openvpn.log
#相当于debug level，具体查看manual
verb 3
7 p+ F. ?4 Q) @——————————-
- N+ E; [9 N3 H& a" e把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
#cd /etc/openvpn
#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
, h. [+ E8 B* I8 H) L#cp easy-rsa/keys/server.key .
- ]  A9 A8 V- y4 `9 \/ N, t8 ~4 U#cp easy-rsa/keys/dh1024.pem .
$ Q! `2 _5 ]; {) c6 i9 Z#cp easy-rsa/keys/ta.key .
#cp easy-rsa/keys/vpncrl.pem .
/ y# S1 \; O1 k7 T创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
然后运行：
* p  |% o# k8 s  o1 M9 D0 [#chkconfig –add openvpn
+ I( C# o; C% n$ \6 F6 a#chkconfig openvpn on
8 Z; J# C, j* w9 [0 M1 Z立即启动openenvpn
#/etc/init.d/openvpn start

接下来配置客户端的配置文件client.conf：
, f% `& Q; |% h/ }Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
6 B+ `; R2 M4 K  x) w8 J———————————-
# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
client

0 |& y0 b% U3 ]. B8 V- U#指定接口的类型，严格和Server端一致
dev tap
6 s. \9 M9 z; N, B: F;dev tun

2 A  _# C& b' t% ~9 J: V6 ]# Windows needs the TAP-Win32 adapter name
0 w. U4 A( ?* \/ Q/ e6 {0 v# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
# A9 a) t+ |. \5 y. q;dev-node MyTap
' \. D3 c, N! U2 O( f: O% H
3 p: P1 t, {+ b8 N8 l2 Z' N. c) K7 x# 使用的协议，与Server严格一致
& ]5 w7 \9 P6 x;proto tcp
' ]# }% s* E* u9 F3 dproto udp

" J0 e  R+ {/ g/ g" D* u2 c5 ^( P: g#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字
- c# y3 U$ ?( [) T- z5 {9 i/ n1 E
remote 61.1.1.2 1194
& ]. o. ~3 l' ];remote my-server-2 1194
7 }2 S4 c  i1 a) F  A
# 随机选择一个Server连接，否则按照顺序从上到下依次连接
;remote-random

4 \* l+ `+ `% h1 [2 T# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
resolv-retry infinite

# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
4 B: c" u, h6 N) ^8 q, l5 Enobind

; G. ]2 [5 e: k! v) T" L# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
user nobody
, c5 c5 z2 r% ^5 Qgroup nobody

# A/ z, F, b& h7 c#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
+ _) L9 K  q8 z6 y+ _#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
# push “route 192.168.0.0 255.255.255.0″
! H* t: d, B- K" P  vroute 192.168.0.0 255.255.0.0
: u/ |4 M# u6 j; b! q
# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
persist-key
persist-tun
$ t! D! u/ T3 C6 E/ ~
# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
7 J# I0 r% X& o7 K7 S# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
0 \5 K) `- E& N- Y8 B
# 对于无线设备使用VPN的配置，看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
5 V  [- g' \4 n2 b8 N# to silence duplicate packet warnings.
;mute-replay-warnings
* E$ h- p) U8 @# r& I& w
8 M* [$ ?7 F# x# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
ca ca.crt
, O: [" q* ^, o( j* c6 P) N. n# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
6 p, h0 p. N! Ccert elm.crt
6 ]& I2 v) x1 d% H3 Ikey elm.key

9 E# o- f, n8 T) \! ~; W( F# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
4 c0 c& R. c; _4 T2 w; h# 因为他们的CA里没有这个扩展
ns-cert-type server

5 o, e  V% T  b* l6 l/ P# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
5 }6 F. _" p2 {0 ntls-auth ta.key 1

# 压缩选项，和Server严格一致
comp-lzo

# Set log file verbosity.
verb 4
8 w) ]5 v" C) Z8 p6 A- d