openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
—————————–
# r$ z3 c, r  T7 y# e- o#申明本机使用的IP地址，也可以不说明
: Y! y3 N" l- t0 ]5 H* `4 H;local a.b.c.d
- f, Z8 w/ }& X#申明使用的端口，默认1194
port 1194
2 O# N* l0 w" \) f#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
9 {: w9 o, s7 P& _#如果使用ipv6应改为proto tcp6或proto udp6
;proto tcp
proto udp
#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
4 N1 \4 I* `! L6 v- f#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
dev tap
;dev tun
#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
, ~& s# I! K# A, k- \ca ca.crt
' Q% E& R! O- v+ N#Server使用的证书文件
0 E, t$ w3 ~; ucert server.crt
#Server使用的证书对应的key，注意文件的权限，防止被盗
; Y2 W: S7 R7 B! @key server.key # This file should be kept secret
#CRL文件的申明，被吊销的证书链，这些证书将无法登录
7 o0 r8 _& c# Rcrl-verify vpncrl.pem
#上面提到的生成的Diffie-Hellman文件
+ l, Z- J) E' \+ z4 Cdh dh1024.pem
#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
#这条命令等效于：
# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
#
# if dev tun: #如果使用tun设备，等效于以下配置
: g) C2 P, F8 r# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
# if client-to-client: #如果使用client-to-client这个选项
# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
* Q( y7 K4 Y0 L/ u# else
# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
#
. I/ T1 J3 _. [$ ]# if dev tap: #如果使用tap设备，则等效于以下命令
, I5 X/ P6 t: g4 L% z# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
! @0 J7 b, x9 N8 I2 D) J# o* l#
server 10.8.0.0 255.255.255.0 #等效于以上命令
$ {  _3 v% i* b1 p3 ?( b! n# J#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
& u4 z! o$ w6 q1 ~#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
+ ~' x; {6 M0 h2 s9 r- ]#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
# q( f* n' h. P3 i: }) d: u1 n: L;push “route 192.168.10.0 255.255.255.0″
;push “route 192.168.20.0 255.255.255.0″
+ z+ Z+ {: t: c. m#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
;route 10.9.0.0 255.255.255.252
- L4 L7 K% _+ D" m2 p* @* ?9 o#Run script or shell command cmd to validate client
#virtual addresses or routes. 具体查看manual
;learn-address ./script
8 P) T4 |, H& _$ H! P! h#其他的一些需要PUSH给Client的选项
2 L" [, j% H& z4 a- l! l1 K9 t. Z2 ]#
#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
6 S6 e5 \* N2 s2 s% d;push “redirect-gateway”
#DHCP的一些选项，具体查看Manual
;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
  K3 I' I* }, ~client-to-client
* e5 I. m+ N4 P#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
1 o  z+ O5 e# x' W/ {6 T#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
;duplicate-cn
#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
* z* M3 K9 R1 H! A$ N& c& P#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
. Q% @  p7 d3 x" |) j5 N#认为连接丢失，并重新启动VPN，重新连接
#（对于mode server模式下的openvpn不会重新连接）。
+ [) T0 f1 B! O" h8 Ckeepalive 10 120
#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
$ B6 u6 ^6 n2 e" |. B. v#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
tls-auth ta.key 0 # This file is secret
  x3 H- p1 M% K% e, I& K2 @#对数据进行压缩，注意Server和Client一致
2 q- |2 T9 a$ o, X& u& \* Ecomp-lzo
( }% R$ J" [$ g! x#定义最大连接数
;max-clients 100
* s- h+ \" Q! u2 s9 P6 k# @#定义运行openvpn的用户
1 b' [/ ]% S5 Q* j% {user nobody
group nobody
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
: e7 p# s# d: Tpersist-key
9 r7 L" o: j7 ~* V# R: [#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
#否则网络连接会先linkdown然后linkup
+ N- r7 l# \7 ?6 {! y) [persist-tun
( I2 w' q/ O) w  j/ J#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
status openvpn-status.log
#记录日志，每次重新启动openvpn后删除原有的log信息
( N" G% b1 S6 X# T! |1 v3 q& Rlog /var/log/openvpn.log
: P* a# t4 |5 R#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
;log-append openvpn.log
, [  u2 f! F% D$ L4 H& u#相当于debug level，具体查看manual
verb 3
——————————-
把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
4 d+ Q) R4 v7 V' J3 S- U7 S#cd /etc/openvpn
#cp easy-rsa/keys/ca.crt .
, A; g+ Q8 e. D. ?) E+ c#cp easy-rsa/keys/server.crt .
( Q+ s1 d' B8 _/ Z7 t. t; f. V#cp easy-rsa/keys/server.key .
#cp easy-rsa/keys/dh1024.pem .
#cp easy-rsa/keys/ta.key .
7 U" h; o  Q1 s4 l. C: s! y7 |( W#cp easy-rsa/keys/vpncrl.pem .
创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
8 Y: I& ]- A0 _然后运行：
: a# n$ _: T/ g; V3 J% _#chkconfig –add openvpn
#chkconfig openvpn on
, n1 ?0 `  j2 T5 A, s1 v立即启动openenvpn
2 P  F; k1 ?9 e% y#/etc/init.d/openvpn start
7 R! s/ k9 s1 ?% Q9 N8 i
+ g/ K3 U* Z- P3 V接下来配置客户端的配置文件client.conf：
Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
& a& R# ]  Z/ t0 M+ N7 R———————————-
# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
# |9 D) }; g. |4 L. y" Zclient

" t" c! S9 d7 A( l) c# o& L#指定接口的类型，严格和Server端一致
& |" `% u, N1 k% J8 E& k5 bdev tap
;dev tun
( w! e( m9 C* M: ~' K& L; N
# Windows needs the TAP-Win32 adapter name
& f1 e# ~# H/ _1 Z! J# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
+ t: S8 Y% }7 V; p;dev-node MyTap
+ V$ ^% |* j8 e, V3 V
, K: M5 a# N2 B# 使用的协议，与Server严格一致
1 g+ _9 n% A3 ]4 n1 H9 }2 P5 H  q;proto tcp
! ]1 r/ s% q+ G; k' Hproto udp

% I+ s+ P4 V8 n; @  t#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字
0 @4 h* L4 M2 u2 p; {2 C
, b" M. _2 w; Y3 R) Z5 v5 [7 ~remote 61.1.1.2 1194
;remote my-server-2 1194
0 g5 x. E9 Z& @+ c
# 随机选择一个Server连接，否则按照顺序从上到下依次连接
;remote-random
( J6 i7 [8 H9 ?5 c* p
# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
0 u7 C# d3 `1 L0 i4 F+ r) c# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
resolv-retry infinite
6 s5 x5 g0 }# r9 B+ h8 o" F$ ^, C6 K
# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
7 y6 c6 ^" k& Knobind

' J, N' O0 t3 u1 _9 |# D9 k- I/ p# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
user nobody
: q5 E2 [/ o6 d! Y1 `group nobody

#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0
4 M) d( z2 r$ J- F
4 h% m; p9 w7 V- |1 |) G& X# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
4 z% m1 j  V; O1 apersist-key
" ^, q! Q4 m4 ~5 ^  C. t8 A! Npersist-tun
$ r% U! F5 \  h2 N# {7 J7 ^! y' R
, ^# t3 \. e% ^5 g4 d4 A* s# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
  a. R" Y) _7 o# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
9 W7 j- a6 P. g7 L( x
# 对于无线设备使用VPN的配置，看看就明白了
# Wireless networks often produce a lot
9 c/ Z5 r1 y" r& w# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings
" y8 d4 |, ], e- R. N* X3 Y$ m
# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
7 \- e6 L0 j) W: b% jca ca.crt
5 i3 I6 x/ ^( Y& q8 I+ J8 M: F0 e# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert elm.crt
key elm.key

3 {+ D3 ~: X* G# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
4 v( g# s. `& F; V) z8 I2 f$ _# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
ns-cert-type server

# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
9 a# ~; L/ Z% w- L' `: utls-auth ta.key 1
& b  }# q& p# i5 N. G- G5 B
# 压缩选项，和Server严格一致
# K: h2 Q/ y) V5 e  F& icomp-lzo
0 U* d( y, E! \0 S2 i- n: U: A
; B. T, z2 j2 D0 W9 _( b4 M7 w* f# Set log file verbosity.
7 v/ N; o, O6 Overb 4
- l, @* F3 M; }* o3 r* O