openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
—————————–
#申明本机使用的IP地址，也可以不说明
;local a.b.c.d
+ y3 i9 b) ~6 P' @#申明使用的端口，默认1194
port 1194
( ?$ U+ P4 N) K  w2 p1 [2 G% G" Z#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
#如果使用ipv6应改为proto tcp6或proto udp6
& \) H, U  q5 I/ S1 H( [0 A;proto tcp
6 g6 d% U1 P& b/ f) e4 s) l5 vproto udp
  o+ z; e# ?! Y, x. d6 L- `; N#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
# U' _5 j/ W' {- Ndev tap
9 d$ ]1 K% q/ a4 f2 H;dev tun
#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
/ h' ^8 P/ A+ X3 Z- v" N' a' eca ca.crt
/ E# f+ N! Z/ y  w7 T: |9 o+ a#Server使用的证书文件
cert server.crt
#Server使用的证书对应的key，注意文件的权限，防止被盗
key server.key # This file should be kept secret
7 T' S+ U2 N. `7 P#CRL文件的申明，被吊销的证书链，这些证书将无法登录
! U; ~/ l* L+ [: b. G9 Xcrl-verify vpncrl.pem
( u) @* B3 P3 t2 s5 {6 g0 h#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
# p3 x- T3 M  x3 g% P#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
+ E9 M: u$ L) v; r. }1 ~#这条命令等效于：
0 G* T+ l- ?% v( I6 N4 {# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
. K  f: k' k( |! Q# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
#
# if dev tun: #如果使用tun设备，等效于以下配置
# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
5 G" c  E/ D. Z' B' Y5 w' l# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
8 I# o/ w: [+ U% }0 R# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
! k- i% ]  h. @; V, ^+ b9 i# if client-to-client: #如果使用client-to-client这个选项
# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
# r" x# z# t. \2 f) E2 M7 S+ _# else
+ m' {+ `. t& T+ R" B# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
#
# if dev tap: #如果使用tap设备，则等效于以下命令
$ ]1 I( S$ N7 Y2 {, _# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
# g. I) ^1 L* }#
) V& h0 R5 j' P$ M9 r. _1 Gserver 10.8.0.0 255.255.255.0 #等效于以上命令
#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
4 N5 G9 O3 h8 R' r8 @#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
3 ^- r6 t4 X9 f4 ?0 h  q" J; R" y#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
;push “route 192.168.10.0 255.255.255.0″
/ U/ B, r3 d0 ^  J# N4 t& y;push “route 192.168.20.0 255.255.255.0″
4 x7 M' }. P7 j4 {#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
- q' r0 d# V2 O- w$ N#virtual addresses or routes. 具体查看manual
, r2 R! q8 J& a1 L! F: L: v$ h" F; @; u;learn-address ./script
4 s- A- p! X) q6 y! i6 Q#其他的一些需要PUSH给Client的选项
#
; j) w. x" n" N#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
4 n6 j( _  I" }! J5 j: b4 J) K! S' k;push “redirect-gateway”
5 C4 \- A* n) \6 `( R4 e#DHCP的一些选项，具体查看Manual
7 y# \6 J3 I  D) w;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
. u/ v0 M1 T+ v$ j% Q4 o#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
5 T& H1 Z; v9 N2 S8 H: k#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
client-to-client
#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
$ H7 Z- P1 F, N) J; M#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
% W3 R* n6 ]4 `( O;duplicate-cn
7 F. ?! O: \: v+ b#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
# R% @- D% u' J+ a9 c2 P#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
% g1 }2 Q' [8 A  S#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
#认为连接丢失，并重新启动VPN，重新连接
#（对于mode server模式下的openvpn不会重新连接）。
7 {, @( s% x5 N" Jkeepalive 10 120
' m# f2 T7 B2 f; X4 b1 \5 W& w#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
9 Q- c4 w. R( Q" X# p6 p- W#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
tls-auth ta.key 0 # This file is secret
) f4 h/ M) g3 I5 \# w#对数据进行压缩，注意Server和Client一致
comp-lzo
+ p: N6 c* h+ \0 n& e#定义最大连接数
+ [9 [" [. n6 W( q! m/ @) ?;max-clients 100
#定义运行openvpn的用户
user nobody
group nobody
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
persist-key
' p, Q" J% F5 l6 g+ Y#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
#否则网络连接会先linkdown然后linkup
% d% o" s% G* Epersist-tun
#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
! ~: I" Z" ^  e. xstatus openvpn-status.log
! M  {- C5 `9 k7 r6 ~; l8 K#记录日志，每次重新启动openvpn后删除原有的log信息
" E/ [2 f8 q8 U3 q$ p% y3 l! n+ Clog /var/log/openvpn.log
#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
;log-append openvpn.log
#相当于debug level，具体查看manual
verb 3
——————————-
把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
#cd /etc/openvpn
6 J$ ~! L0 q6 ~: \#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
# O' j9 W1 Z: i: V, Q. g#cp easy-rsa/keys/server.key .
: `0 X) g8 V0 W. F#cp easy-rsa/keys/dh1024.pem .
#cp easy-rsa/keys/ta.key .
7 A; R6 _) I9 c* @0 g#cp easy-rsa/keys/vpncrl.pem .
* S9 |3 k7 U9 @& ^7 p, \- S( X创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
5 ^2 y6 x& O9 V) @8 i+ C$ @然后运行：
#chkconfig –add openvpn
#chkconfig openvpn on
立即启动openenvpn
% r! @6 U4 [; m; u#/etc/init.d/openvpn start
. U" S3 m. C0 V4 j% ?5 {, H
接下来配置客户端的配置文件client.conf：
Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
5 q: {! `% ]/ `3 H! _4 |1 h: V———————————-
# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
3 N+ K" ?. b+ k. a5 Jclient

#指定接口的类型，严格和Server端一致
+ ^- k. [1 r+ I1 p1 U$ f6 ]dev tap
;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
) z: r2 j( d6 a' o5 T9 e6 y% ?) V" x; T# if you have more than one. On XP SP2,
! a% c0 e3 z3 j0 i  R) O8 Y8 V3 [# you may need to disable the firewall
' h$ L8 n. y2 |- x& W! s# for the TAP adapter.
;dev-node MyTap

# 使用的协议，与Server严格一致
;proto tcp
! ?1 l  w1 J+ U0 o* }proto udp
( f% e0 n" R8 }; v) y
#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字
4 G; Z  N- Y: B* o
remote 61.1.1.2 1194
( t8 Y- @  Z/ r0 ~: ]/ L' E# ^;remote my-server-2 1194

' X& W# D: I! |5 i2 m* Q# 随机选择一个Server连接，否则按照顺序从上到下依次连接
( K, V% ?( A/ U4 p. L; G7 z;remote-random
) f  V; _4 {% e6 a! l
# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
" F, v! g9 ?6 b& q) v# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
resolv-retry infinite

8 V6 T( `3 h* G0 h: D# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
3 a0 E0 T7 o6 f" K  gnobind

  K( q0 t& w! ^# m. I' U  R# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
user nobody
/ K) ~$ e8 g1 X9 h1 o* qgroup nobody

#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
5 k1 Q- B* d* _- y( H9 c8 G#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0
4 _" y8 w: R$ Z1 T0 m
# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
* B( z: n  U) Wpersist-key
persist-tun

# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
, z/ w' j- E2 F, G' z/ Y" k# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
# p. q. {! `; j+ Z% `5 t;http-proxy-retry # retry on connection failures
) @6 U. L( d4 R7 J;http-proxy [proxy server] [proxy port #]

# 对于无线设备使用VPN的配置，看看就明白了
0 T& E; Y) T* P+ R# e' J# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
& b  a. u$ d& b4 ]5 D  S0 O) F;mute-replay-warnings

5 W7 G& f( o5 Y9 V( s# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
ca ca.crt
: W5 j" |# p: |2 A' x# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert elm.crt
key elm.key

6 A: I, F( H3 n6 K/ J# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
2 U8 i8 E" Y  Z( }  L! }% p; _6 f% o8 V+ Y# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
) Z9 n4 a; w* X9 Q1 p  e7 ?ns-cert-type server

5 E! j! T# c# f0 j# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
tls-auth ta.key 1

# 压缩选项，和Server严格一致
9 X) p7 r2 }5 G3 y3 M/ m, g4 Ycomp-lzo
5 i% v, z% I0 W. s' P
% }3 w: T' S% u* g# Set log file verbosity.
$ [/ \4 |, ?* w* M3 G1 Sverb 4