openvpn中server.conf和client.conf配置文件详解

admin

Server使用的配置文件server.conf
2 J: w0 \5 n: ]—————————–
' v2 I; q$ p+ ~' d3 ?8 l1 |#申明本机使用的IP地址，也可以不说明
;local a.b.c.d
#申明使用的端口，默认1194
& H4 F. k# u" R+ }( e" {7 [port 1194
2 V  K6 u; b" ~$ C#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议
- y) H! M4 u6 n% T/ x#如果使用ipv6应改为proto tcp6或proto udp6
1 o5 M; a# B6 Q  d: _$ F;proto tcp
proto udp
: ]3 j+ q, }" \. a6 f. H#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
dev tap
;dev tun
#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
. B! T3 D/ B5 dca ca.crt
) P6 u2 j/ H8 O2 F4 I/ H7 b#Server使用的证书文件
6 E6 u/ n  i7 o! j. q8 Q. vcert server.crt
#Server使用的证书对应的key，注意文件的权限，防止被盗
, W$ S9 E3 x7 ?key server.key # This file should be kept secret
1 W& m, \5 Q4 r( F/ ]6 R#CRL文件的申明，被吊销的证书链，这些证书将无法登录
crl-verify vpncrl.pem
. q) G' E. S- R5 N0 A#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
+ b/ U; M% x! g2 z" z#这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由
( B+ m3 W& F) G7 t% f+ u#这条命令等效于：
: X. W+ Q2 L2 T) [% ]( O) A& _# mode server #OpenVPN工作在Server模式，可以支持多client同时动态接入
# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
& T5 a! p% M- |$ T  A  m2 X, G#
, h. N4 P- p% F0 e5 X4 R. }8 A# if dev tun: #如果使用tun设备，等效于以下配置
# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
# ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址
# route 10.8.0.0 255.255.255.0 #增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
# if client-to-client: #如果使用client-to-client这个选项
$ q) v- m3 B! T& X1 ?# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
/ `4 j0 q0 R4 D- z' M# else
4 }. U+ @0 g* ]- o1 b# push “route 10.8.0.1″ #否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
! i6 d) u0 T" E! T) s#
6 c/ c& \! ~7 U- x# if dev tap: #如果使用tap设备，则等效于以下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
#
server 10.8.0.0 255.255.255.0 #等效于以上命令
) j) g3 x( H3 [#用于记录某个Client获得的IP地址，类似于dhcpd.lease文件，
" Z% F7 z  w4 u9 B- w" }#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址
" O9 B0 G1 P1 M1 H" b) }ifconfig-pool-persist ipp.txt
" `5 `: H5 c7 w2 g% h! X7 J% x#Bridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用
7 Y$ ]* q; c: u5 r$ {/ B;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
% a( D& F. f5 A' G1 [#通过VPN Server往Client push路由，client通过pull指令获得Server push的所有选项并应用
8 P9 y; |9 w; j4 U3 E/ W;push “route 192.168.10.0 255.255.255.0″
;push “route 192.168.20.0 255.255.255.0″
: l+ b: O* d* q( c( Y' e  ^+ d; X#VPN启动后，在VPN Server上增加的路由，VPN停止后自动删除
* `8 M6 h8 ^3 }8 X4 W$ }6 i;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
: c+ z7 ?2 H* x#virtual addresses or routes. 具体查看manual
: r; O6 N9 ?) c1 M2 {% b;learn-address ./script
) E2 Y9 W5 Z  z) [4 w#其他的一些需要PUSH给Client的选项
+ g% T5 o* e- m% B$ ^#
#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走
- P3 @- _$ Q& ^: ~/ z# R;push “redirect-gateway”
' }7 ~& Q; \$ ^#DHCP的一些选项，具体查看Manual
;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
#如果可以让VPN Client之间相互访问直接通过openvpn程序转发，
  q& y* H& f  H; N" j#不用发送到tun或者tap设备后重新转发，优化Client to Client的访问效率
; ^2 r( x# o- m1 Iclient-to-client
#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
#和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN
;duplicate-cn
#NAT后面使用VPN，如果VPN长时间不通信，NAT Session可能会失效，
#导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，
#下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，
#认为连接丢失，并重新启动VPN，重新连接
9 W! D3 j% u4 S7 y; v' L#（对于mode server模式下的openvpn不会重新连接）。
( i# p. P$ j0 c0 ikeepalive 10 120
. \5 @; B2 Q! r( T2 e4 U#上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMAC signature，
#没有HMAC signature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1
; `- F2 R6 t$ M) d$ J* n# Ytls-auth ta.key 0 # This file is secret
#对数据进行压缩，注意Server和Client一致
comp-lzo
#定义最大连接数
;max-clients 100
#定义运行openvpn的用户
user nobody
( L' [5 v& `4 ~& I& s9 cgroup nobody
#通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keys
6 M0 D) H4 @3 hpersist-key
' L0 b& J9 N9 L5 B#通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，
; _0 p0 b# s" T1 H( _5 M#否则网络连接会先linkdown然后linkup
persist-tun
3 z6 l" Q! i1 y% @/ g4 e#定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作
5 N, o. R. i! J/ U: J! estatus openvpn-status.log
: c& I+ ~, g( Y#记录日志，每次重新启动openvpn后删除原有的log信息
$ ~  f- ~8 |. S7 J, Ulog /var/log/openvpn.log
% Q5 J0 Q% g: B; u6 S$ V#和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后
;log-append openvpn.log
1 e3 c3 y- e$ @5 F' I* H% F' s#相当于debug level，具体查看manual
! f2 Q3 L9 z8 U: pverb 3
: i. x& [. u/ F% J2 e——————————-
把server.conf文件保存到/etc/opennvpn目录中，并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下，命令如下:
: g! P) P3 d) e" j#cd /etc/openvpn
#cp easy-rsa/keys/ca.crt .
#cp easy-rsa/keys/server.crt .
, U$ b" C9 J2 i5 f$ a4 W( v8 a; L#cp easy-rsa/keys/server.key .
#cp easy-rsa/keys/dh1024.pem .
- R- d% ]. O2 K2 ]) r#cp easy-rsa/keys/ta.key .
#cp easy-rsa/keys/vpncrl.pem .
创建OpenVPN启动脚本，可以在源代码目录中找到，在sample-scripts目录下的openvpn.init文件，将其复制到/etc/init.d/目录中，改名为openvpn
. y2 E; c$ U; D! X然后运行：
#chkconfig –add openvpn
#chkconfig openvpn on
! I/ V7 q) r2 r5 h) l0 J立即启动openenvpn
# ?( K; L& m4 h, z* ^7 j7 {#/etc/init.d/openvpn start

4 P! @6 @" l4 J* y0 Y接下来配置客户端的配置文件client.conf：
Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
; H% N% m  e# p# F! `& G6 [———————————-
# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
client

#指定接口的类型，严格和Server端一致
) p: U0 u8 K+ P% N( J8 r: udev tap
" y* [' R+ o* \5 B1 B) S;dev tun
0 W. T6 Q1 k. e/ D* @) e
$ n. U1 X- V" ^) H. a  Q# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
+ I. r9 ]; n1 d2 o" k' p5 |1 e, [# for the TAP adapter.
;dev-node MyTap

# 使用的协议，与Server严格一致
;proto tcp
2 k3 i, k: D+ O- ^' oproto udp

$ w$ Y+ p( s7 j8 p! J  s% G9 X#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字
' t7 |' m' z9 U# F$ [5 X6 ^
' [9 `: ^- G6 x# a2 _# aremote 61.1.1.2 1194
: ~7 B" R4 f- t! r;remote my-server-2 1194
( Q) o( v+ B% g# t& S- `
( L, G  H; J+ {; Q# 随机选择一个Server连接，否则按照顺序从上到下依次连接
;remote-random
, o3 B& k$ l; P( ]3 s
# 始终重新解析Server的IP地址（如果remote后面跟的是域名），
# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动，即可重新接入VPN
+ F2 l) p3 `: {0 Q; ~resolv-retry infinite

  A5 }; H, L1 m: r5 z# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要
% X. j+ x1 d3 [( L& M, g1 d( Onobind
& y9 w: p4 H# n
# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作
  Z7 u* {! @; ?  [: Y' Xuser nobody
2 ~  B; E2 h* [$ b0 Ygroup nobody
% \4 L( L, n& I9 x
#在Client端增加路由，使得所有访问内网的流量都经过VPN出去
#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是
3 z. w- E$ V4 L! o# push “route 192.168.0.0 255.255.255.0″
+ X  m" m  F5 g, g; X, S3 ]' rroute 192.168.0.0 255.255.0.0
1 k) {4 u' v1 o& B7 P5 q. J
: s1 M; ]6 R6 t. B. i- y# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
3 j7 ~' Q' I7 r1 {9 U# B1 u1 o' Opersist-key
5 f) q" o$ L* B! ^' V3 ]  F0 opersist-tun

- D) l0 b! s3 b( x$ _( c7 d# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面
/ h8 B9 j) ~4 y  X: x! a# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
! ?! l: Z/ t& g( h% H
# 对于无线设备使用VPN的配置，看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
% @4 U  D. b" d;mute-replay-warnings

# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
8 a8 x4 e& L- ~/ ]& z/ Icert elm.crt
key elm.key
! }$ Q/ Y- C4 t7 U! s, R
9 ^: F& R% M- @) h# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server
  j1 W3 @$ F- N% ], `: k* O/ o# 因为他们的CA里没有这个扩展
- v; u! I& t% y6 M7 C' Y' cns-cert-type server

# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
tls-auth ta.key 1
: r& y6 D7 f6 R3 {6 i; n
# 压缩选项，和Server严格一致
2 j, _$ |& J" n0 K: r6 s1 qcomp-lzo

# Set log file verbosity.
verb 4