您好,欢迎访问三七文档
当前位置:首页 > 建筑/环境 > 工程监理 > OpenVPN配置文件详解
OpenVPN配置文件详解Server使用的配置文件server.conf#申明本机使用的IP地址,也可以不说明;locala.b.c.d#申明使用的端口,默认1194port1194#申明使用的协议,默认使用UDP,如果使用HTTPproxy,必须使用TCP协议;prototcpprotoudp#申明使用的设备可选tap和tun,tap是二层设备,支持链路层协议。#tun是ip层的点对点协议,限制稍微多一些,本人习惯使用TAP设备devtap;devtun#OpenVPN使用的ROOTCA,使用build-ca生成的,用于验证客户是证书是否合法caca.crt#Server使用的证书文件certserver.crt#Server使用的证书对应的key,注意文件的权限,防止被盗keyserver.key#Thisfileshouldbekeptsecret#CRL文件的申明,被吊销的证书链,这些证书将无法登录crl-verifyvpncrl.pem#上面提到的生成的Diffie-Hellman文件dhdh1024.pem#这是一条命令的合集,如果你是OpenVPN的老用户,就知道这条命令的来由#这条命令等效于:#modeserver#OpenVPN工作在Server模式,可以支持多client同时动态接入#tls-server#使用TLS加密传输,本端为Server,Client端为tls-client##ifdevtun:#如果使用tun设备,等效于以下配置#ifconfig10.8.0.110.8.0.2#设置本地tun设备的地址#ifconfig-pool10.8.0.410.8.0.251#说明OpenVPN使用的地址池(用于分配给客户),分别是起始地址、结束地址#route10.8.0.0255.255.255.0#增加一条静态路由,省略下一跳地址,下一跳为对端地址,这里是:10.8.0.2#ifclient-to-client:#如果使用client-to-client这个选项#push“route10.8.0.0255.255.255.0″#把这条路由发送给客户端,客户连接成功后自动加入路由表,省略了下一跳地址:10.8.0.1#else#push“route10.8.0.1″#否则发送本条路由,这是一个主机路由,省略了子网掩码和下一跳地址,分别为:255.255.255.25510.8.0.1##ifdevtap:#如果使用tap设备,则等效于以下命令#ifconfig10.8.0.1255.255.255.0#配置tap设备的地址#ifconfig-pool10.8.0.210.8.0.254255.255.255.0#客户端使用的地址池,分别是起始地址、结束地址、子网掩码#push“route-gateway10.8.0.1″#把环境变量route-gateway传递给客户机#server10.8.0.0255.255.255.0#等效于以上命令#用于记录某个Client获得的IP地址,类似于dhcpd.lease文件,#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址ifconfig-pool-persistipp.txt#Bridge状态下类似DHCPD的配置,为客户分配地址,由于这里工作在路由模式,所以不使用;server-bridge10.8.0.4255.255.255.010.8.0.5010.8.0.100#通过VPNServer往Clientpush路由,client通过pull指令获得Serverpush的所有选项并应用;push“route192.168.10.0255.255.255.0″;push“route192.168.20.0255.255.255.0″#VPN启动后,在VPNServer上增加的路由,VPN停止后自动删除;route10.9.0.0255.255.255.252#Runscriptorshellcommandcmdtovalidateclient#virtualaddressesorroutes.具体查看manual;learn-address./script#其他的一些需要PUSH给Client的选项##使Client的默认网关指向VPN,让Client的所有Traffic都通过VPN走;push“redirect-gateway”#DHCP的一些选项,具体查看Manual;push“dhcp-optionDNS10.8.0.1″;push“dhcp-optionWINS10.8.0.1″#如果可以让VPNClient之间相互访问直接通过openvpn程序转发,#不用发送到tun或者tap设备后重新转发,优化ClienttoClient的访问效率client-to-client#如果Client使用的CA的CommonName有重复了,或者说客户都使用相同的CA#和keys连接VPN,一定要打开这个选项,否则只允许一个人连接VPN;duplicate-cn#NAT后面使用VPN,如果VPN长时间不通信,NATSession可能会失效,#导致VPN连接丢失,为防止之类事情的发生,keepalive提供一个类似于ping的机制,#下面表示每10秒通过VPN的Control通道ping对方,如果连续120秒无法ping通,#认为连接丢失,并重新启动VPN,重新连接#(对于modeserver模式下的openvpn不会重新连接)。keepalive10120#上面提到的HMAC防火墙,防止DOS攻击,对于所有的控制信息,都使用HMACsignature,#没有HMACsignature的控制信息不予处理,注意server端后面的数字肯定使用0,client使用1tls-authta.key0#Thisfileissecret#对数据进行压缩,注意Server和Client一致comp-lzo#定义最大连接数;max-clients100#定义运行openvpn的用户usernobodygroupnobody#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keyspersist-key#通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的,#否则网络连接会先linkdown然后linkuppersist-tun#定期把openvpn的一些状态信息写到文件中,以便自己写程序计费或者进行其他操作statusopenvpn-status.log#记录日志,每次重新启动openvpn后删除原有的log信息log/var/log/openvpn.log#和log一致,每次重新启动openvpn后保留原有的log信息,新信息追加到文件最后;log-appendopenvpn.log#相当于debuglevel,具体查看manualverb3——————————-把server.conf文件保存到/etc/opennvpn目录中,并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下,命令如下:#cd/etc/openvpn#cpeasy-rsa/keys/ca.crt.#cpeasy-rsa/keys/server.crt.#cpeasy-rsa/keys/server.key.#cpeasy-rsa/keys/dh1024.pem.#cpeasy-rsa/keys/ta.key.#cpeasy-rsa/keys/vpncrl.pem.创建OpenVPN启动脚本,可以在源代码目录中找到,在sample-scripts目录下的openvpn.init文件,将其复制到/etc/init.d/目录中,改名为openvpn然后运行:#chkconfig–addopenvpn#chkconfigopenvpnon立即启动openenvpn#/etc/init.d/openvpnstart接下来配置客户端的配置文件client.conf:Linux或Unix下使用扩展名为.confWindows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crtelm.crtelm.keyta.key———————————-#申明我们是一个client,配置从server端pull过来,如IP地址,路由信息之类“Server使用push指令push过来的”client#指定接口的类型,严格和Server端一致devtap;devtun#WindowsneedstheTAP-Win32adaptername#fromtheNetworkConnectionspanel#ifyouhavemorethanone.OnXPSP2,#youmayneedtodisablethefirewall#fortheTAPadapter.;dev-nodeMyTap#使用的协议,与Server严格一致;prototcpprotoudp#设置Server的IP地址和端口,如果有多台机器做负载均衡,可以多次出现remote关键字remote61.1.1.21194;remotemy-server-21194#随机选择一个Server连接,否则按照顺序从上到下依次连接;remote-random#始终重新解析Server的IP地址(如果remote后面跟的是域名),#保证ServerIP地址是动态的使用DDNS动态更新DNS后,Client在自动重新连接时重新解析Server的IP地址#这样无需人为重新启动,即可重新接入VPNresolv-retryinfinite#在本机不邦定任何端口监听incoming数据,Client无需此操作,除非一对一的VPN有必要nobind#运行openvpn用户的身份,旧版本在win下需要把这两行注释掉,新版本无需此操作usernobodygroupnobody#在Client端增加路由,使得所有访问内网的流量都经过VPN出去#当然也可以在Server的配置文件里头设置,Server配置里头使用的命令是#push“route192.168.0.0255.255.255.0″route192.168.0.0255.255.0.0#和Server配置上的功能一样如果使用了chroot或者su功能,最好打开下面2个选项,防止重新启动后找不到keys文件,或者nobody用户没有权限启动tun设备persist-keypersist-tun#如果你使用HTTP代理连接VPNServer,把Proxy的IP地址和端口写到下面#如果代理需要验证,使用http-proxyserverport[authfile][auth-method]#其中authfile是一个2行的文本文件,用户名和密码各占一行,auth-method可以省略,详细信息查看Manual;http-proxy-retry#retryonconnectionfailures;http-proxy[proxyserver][proxyport#]#对于无线设备使用VPN的配置,看看就明白了#Wirelessnetworksoftenproducealot#ofduplicatepackets.Setthisflag#tosilenceduplicatepacketwarnings.;mute-replay-warnings#RootCA文件的文件名,用于验证ServerCA证书合法性,通过easy-rsa/build-ca生成的ca.crt,和Server配置里的ca.crt是同一个文件caca.crt#easy-rsa/build-key生成的keypair文件,上面生成key部分中有提到,不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。certelm.crtkeyelm.key#Server使用build-key-server脚本什成的,在x509v3
本文标题:OpenVPN配置文件详解
链接地址:https://www.777doc.com/doc-5747667 .html