OpenVServerClient配置文件详解

　　Server配置详解
　　申明本机使用的IP地址，也可以不说明；locala。b。c。d申明使用的端口，默认1194port1194申明使用的协议，默认使用UDP，如果使用HTTPproxy，必须使用TCP协议；prototcpprotoudp申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备devtap；devtunOpenVPN使用的ROOTCA，使用buildca生成的，用于验证客户是证书是否合法caca。crtServer使用的证书文件certserver。crtServer使用的证书对应的key，注意文件的权限，防止被盗keyserver。keyThisfileshouldbekeptsecretCRL文件的申明，被吊销的证书链，这些证书将无法登录crlverifyvpncrl。pem上面提到的生成的DiffieHellman文件dhdh1024。pem这是一条命令的合集，如果你是OpenVPN的老用户，就知道这条命令的来由这条命令等效于：modeserverOpenVPN工作在Server模式，可以支持多client同时动态接入tlsserver使用TLS加密传输，本端为Server，Client端为tlsclientifdevtun：如果使用tun设备，等效于以下配置ifconfig10。8。0。110。8。0。2设置本地tun设备的地址ifconfigpool10。8。0。410。8。0。251说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址route10。8。0。0255。255。255。0增加一条静态路由，省略下一跳地址，下一跳为对端地址，这里是：10。8。0。2ifclienttoclient：如果使用clienttoclient这个选项pushroute10。8。0。0255。255。255。0把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址：10。8。0。1elsepushroute10。8。0。1否则发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为：255。255。255。25510。8。0。1ifdevtap：如果使用tap设备，则等效于以下命令ifconfig10。8。0。1255。255。255。0配置tap设备的地址ifconfigpool10。8。0。210。8。0。254255。255。255。0客户端使用的地址池，分别是起始地址、结束地址、子网掩码pushroutegateway10。8。0。1把环境变量routegateway传递给客户机server10。8。0。0255。255。255。0等效于以上命令用于记录某个Client获得的IP地址，类似于dhcpd。lease文件，防止openvpn重新启动后忘记Client曾经使用过的IP地址ifconfigpoolpersistipp。txtBridge状态下类似DHCPD的配置，为客户分配地址，由于这里工作在路由模式，所以不使用；serverbridge10。8。0。4255。255。255。010。8。0。5010。8。0。100通过VPNServer往Clientpush路由，client通过pull指令获得Serverpush的所有选项并应用；pushroute192。168。10。0255。255。255。0；pushroute192。168。20。0255。255。255。0VPN启动后，在VPNServer上增加的路由，VPN停止后自动删除；route10。9。0。0255。255。255。252Runscriptorshellcommandcmdtovalidateclientvirtualaddressesorroutes。具体查看manual；learnaddress。script其他的一些需要PUSH给Client的选项使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走；pushredirectgatewayDHCP的一些选项，具体查看Manual；pushdhcpoptionDNS10。8。0。1；pushdhcpoptionWINS10。8。0。1如果可以让VPNClient之间相互访问直接通过openvpn程序转发，不用发送到tun或者tap设备后重新转发，优化ClienttoClient的访问效率clienttoclient如果Client使用的CA的CommonName有重复了，或者说客户都使用相同的CA和keys连接VPN，一定要打开这个选项，否则只允许一个人连接VPN；duplicatecnNAT后面使用VPN，如果VPN长时间不通信，NATSession可能会失效，导致VPN连接丢失，为防止之类事情的发生，keepalive提供一个类似于ping的机制，下面表示每10秒通过VPN的Control通道ping对方，如果连续120秒无法ping通，认为连接丢失，并重新启动VPN，重新连接（对于modeserver模式下的openvpn不会重新连接）。keepalive10120上面提到的HMAC防火墙，防止DOS攻击，对于所有的控制信息，都使用HMACsignature，没有HMACsignature的控制信息不予处理，注意server端后面的数字肯定使用0，client使用1tlsauthta。key0Thisfileissecret对数据进行压缩，注意Server和Client一致complzo定义最大连接数；maxclients100定义运行openvpn的用户usernobodygroupnobody通过keepalive检测超时后，重新启动VPN，不重新读取keys，保留第一次使用的keyspersistkey通过keepalive检测超时后，重新启动VPN，一直保持tun或者tap设备是linkup的，否则网络连接会先linkdown然后linkuppersisttun定期把openvpn的一些状态信息写到文件中，以便自己写程序计费或者进行其他操作statusopenvpnstatus。log记录ahrefhttps：www。bs178。comrizhitargetblankclassinfotextkey日志a，每次重新启动openvpn后删除原有的log信息logvarlogopenvpn。log和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后；logappendopenvpn。log相当于debuglevel，具体查看manualverb3把server。conf文件保存到etcopennvpn目录中，并把使用easyrsa下的脚本什成的key都复制到etcopenvpn目录下，命令如下：cdetcopenvpncpeasyrsakeysca。crt。cpeasyrsakeysserver。crt。cpeasyrsakeysserver。key。cpeasyrsakeysdh1024。pem。cpeasyrsakeysta。key。cpeasyrsakeysvpncrl。pem。创建OpenVPN启动脚本，可以在源代码目录中找到，在samplescripts目录下的openvpn。init文件，将其复制到etcinit。d目录中，改名为openvpn然后运行：chkconfigaddopenvpnchkconfigopenvpnon立即启动openenvpnetcinit。dopenvpnstart
　　Client配置文件详解
　　申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类Server使用push指令push过来的client指定接口的类型，严格和Server端一致devtap；devtunWindowsneedstheTAPWin32adapternamefromtheNetworkConnectionspanelifyouhavemorethanone。OnXPSP2，youmayneedtodisablethefirewallfortheTAPadapter。；devnodeMyTap使用的协议，与Server严格一致；prototcpprotoudp设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字remote61。1。1。21194；remotemyserver21194随机选择一个Server连接，否则按照顺序从上到下依次连接；remoterandom始终重新解析Server的IP地址（如果remote后面跟的是域名），保证ServerIP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址这样无需人为重新启动，即可重新接入VPNresolvretryinfinite在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要nobind运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作usernobodygroupnobody在Client端增加路由，使得所有访问内网的流量都经过VPN出去当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是pushroute192。168。0。0255。255。255。0route192。168。0。0255。255。0。0和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备persistkeypersisttun如果你使用HTTP代理连接VPNServer，把Proxy的IP地址和端口写到下面如果代理需要验证，使用httpproxyserverport〔authfile〕〔authmethod〕其中authfile是一个2行的文本文件，用户名和密码各占一行，authmethod可以省略，详细信息查看Manual；httpproxyretryretryonconnectionfailures；httpproxy〔proxyserver〕〔proxyport〕对于无线设备使用VPN的配置，看看就明白了Wirelessnetworksoftenproducealotofduplicatepackets。Setthisflagtosilenceduplicatepacketwarnings。；mutereplaywarningsRootCA文件的文件名，用于验证ServerCA证书合法性，通过easyrsabuildca生成的ca。crt，和Server配置里的ca。crt是同一个文件caca。crteasyrsabuildkey生成的keypair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。certelm。crtkeyelm。keyServer使用buildkeyserver脚本什成的，在x509v3扩展中加入了nscerttype选项防止VPNclient使用他们的keysDNShack欺骗vpnclient连接他们假冒的VPNServer因为他们的CA里没有这个扩展nscerttypeserver和Server配置里一致，ta。key也一致，注意最后参数使用的是1tlsauthta。key1压缩选项，和Server严格一致complzoSetlogfileverbosity。verb4该配置所有请求均走代理redirectgatewayautolocal