|
2011-09-30, 03:06 PM | #1 | |
注册日期: 2003-10-22
帖子: 11,053
积分:6
精华:24
现金:14348金币
资产:29325305金币
|
OpenVPN配置文件详解
Server使用的配置文件server.conf —————————– #申明本机使用的IP地址,也可以不说明 ;local a.b.c.d #申明使用的端口,默认1194 port 1194 #申明使用的协议,默认使用UDP,如果使用HTTP proxy,必须使用TCP协议 ;proto tcp proto udp #申明使用的设备可选tap和tun,tap是二层设备,支持链路层协议。 #tun是ip层的点对点协议,限制稍微多一些,本人习惯使用TAP设备 dev tap ;dev tun #OpenVPN使用的ROOT CA,使用build-ca生成的,用于验证客户是证书是否合法 ca ca.crt #Server使用的证书文件 cert server.crt #Server使用的证书对应的key,注意文件的权限,防止被盗 key server.key # This file should be kept secret #CRL文件的申明,被吊销的证书链,这些证书将无法登录 crl-verify vpncrl.pem #上面提到的生成的Diffie-Hellman文件 dh dh1024.pem #这是一条命令的合集,如果你是OpenVPN的老用户,就知道这条命令的来由 #这条命令等效于: # mode server #OpenVPN工作在Server模式,可以支持多client同时动态接入 # tls-server #使用TLS加密传输,本端为Server,Client端为tls-client # # if dev tun: #如果使用tun设备,等效于以下配置 # ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址 # ifconfig-pool 10.8.0.4 10.8.0.251 #说明OpenVPN使用的地址池(用于分配给客户),分别是起始地址、结束地址 # route 10.8.0.0 255.255.255.0 #增加一条静态路由,省略下一跳地址,下一跳为对端地址,这里是: 10.8.0.2 # if client-to-client: #如果使用client-to-client这个选项 # push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端,客户连接成功后自动加入路由表,省略了下一跳地址: 10.8.0.1 # else # push “route 10.8.0.1″ #否则发送本条路由,这是一个主机路由,省略了子网掩码和下一跳地址,分别为: 255.255.255.255 10.8.0.1 # # if dev tap: #如果使用tap设备,则等效于以下命令 # ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址 # ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池,分别是起始地址、结束地址、子网掩码 # push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机 # server 10.8.0.0 255.255.255.0 #等效于以上命令 #用于记录某个Client获得的IP地址,类似于dhcpd.lease文件, #防止openvpn重新启动后“忘记”Client曾经使用过的IP地址 ifconfig-pool-persist ipp.txt #Bridge状态下类似DHCPD的配置,为客户分配地址,由于这里工作在路由模式,所以不使用 ;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100 #通过VPN Server往Client push路由,client通过pull指令获得Server push的所有选项并应用 ;push “route 192.168.10.0 255.255.255.0″ ;push “route 192.168.20.0 255.255.255.0″ #VPN启动后,在VPN Server上增加的路由,VPN停止后自动删除 ;route 10.9.0.0 255.255.255.252 #Run script or shell command cmd to validate client #virtual addresses or routes. 具体查看manual ;learn-address ./script #其他的一些需要PUSH给Client的选项 # #使Client的默认网关指向VPN,让Client的所有Traffic都通过VPN走 ;push “redirect-gateway” #DHCP的一些选项,具体查看Manual ;push “dhcp-option DNS 10.8.0.1″ ;push “dhcp-option WINS 10.8.0.1″ #如果可以让VPN Client之间相互访问直接通过openvpn程序转发, #不用发送到tun或者tap设备后重新转发,优化Client to Client的访问效率 client-to-client #如果Client使用的CA的Common Name有重复了,或者说客户都使用相同的CA #和keys连接VPN,一定要打开这个选项,否则只允许一个人连接VPN ;duplicate-cn #NAT后面使用VPN,如果VPN长时间不通信,NAT Session可能会失效, #导致VPN连接丢失,为防止之类事情的发生,keepalive提供一个类似于ping的机制, #下面表示每10秒通过VPN的Control通道ping对方,如果连续120秒无法ping通, #认为连接丢失,并重新启动VPN,重新连接 #(对于mode server模式下的openvpn不会重新连接)。 keepalive 10 120 #上面提到的HMAC防火墙,防止DOS攻击,对于所有的控制信息,都使用HMAC signature, #没有HMAC signature的控制信息不予处理,注意server端后面的数字肯定使用0,client使用1 tls-auth ta.key 0 # This file is secret #对数据进行压缩,注意Server和Client一致 comp-lzo #定义最大连接数 ;max-clients 100 #定义运行openvpn的用户 user nobody group nobody #通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys persist-key #通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的, #否则网络连接会先linkdown然后linkup persist-tun #定期把openvpn的一些状态信息写到文件中,以便自己写程序计费或者进行其他操作 status openvpn-status.log #记录日志,每次重新启动openvpn后删除原有的log信息 log /var/log/openvpn.log #和log一致,每次重新启动openvpn后保留原有的log信息,新信息追加到文件最后 ;log-append openvpn.log #相当于debug level,具体查看manual verb 3 ——————————- 把server.conf文件保存到/etc/opennvpn目录中,并把使用easy-rsa下的脚本什成的key都复制到/etc/openvpn目录下,命令如下: #cd /etc/openvpn #cp easy-rsa/keys/ca.crt . #cp easy-rsa/keys/server.crt . #cp easy-rsa/keys/server.key . #cp easy-rsa/keys/dh1024.pem . #cp easy-rsa/keys/ta.key . #cp easy-rsa/keys/vpncrl.pem . 创建OpenVPN启动脚本,可以在源代码目录中找到,在sample-scripts目录下的openvpn.init文件,将其复制到/etc/init.d/目录中,改名为openvpn 然后运行: #chkconfig –add openvpn #chkconfig openvpn on 立即启动openenvpn #/etc/init.d/openvpn start 接下来配置客户端的配置文件client.conf: Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key ———————————- # 申明我们是一个client,配置从server端pull过来,如IP地址,路由信息之类“Server使用push指令push过来的” client #指定接口的类型,严格和Server端一致 dev tap ;dev tun # Windows needs the TAP-Win32 adapter name # from the Network Connections panel # if you have more than one. On XP SP2, # you may need to disable the firewall # for the TAP adapter. ;dev-node MyTap # 使用的协议,与Server严格一致 ;proto tcp proto udp #设置Server的IP地址和端口,如果有多台机器做负载均衡,可以多次出现remote关键字 remote 61.1.1.2 1194 ;remote my-server-2 1194 # 随机选择一个Server连接,否则按照顺序从上到下依次连接 ;remote-random # 始终重新解析Server的IP地址(如果remote后面跟的是域名), # 保证Server IP地址是动态的使用DDNS动态更新DNS后,Client在自动重新连接时重新解析Server的IP地址 # 这样无需人为重新启动,即可重新接入VPN resolv-retry infinite # 在本机不邦定任何端口监听incoming数据,Client无需此操作,除非一对一的VPN有必要 nobind # 运行openvpn用户的身份,旧版本在win下需要把这两行注释掉,新版本无需此操作 user nobody group nobody #在Client端增加路由,使得所有访问内网的流量都经过VPN出去 #当然也可以在Server的配置文件里头设置,Server配置里头使用的命令是 # push “route 192.168.0.0 255.255.255.0″ route 192.168.0.0 255.255.0.0 # 和Server配置上的功能一样如果使用了chroot或者su功能,最好打开下面2个选项,防止重新启动后找不到keys文件,或者nobody用户没有权限启动tun设备 persist-key persist-tun # 如果你使用HTTP代理连接VPN Server,把Proxy的IP地址和端口写到下面 # 如果代理需要验证,使用http-proxy server port [authfile] [auth-method] # 其中authfile是一个2行的文本文件,用户名和密码各占一行,auth-method可以省略,详细信息查看Manual ;http-proxy-retry # retry on connection failures ;http-proxy [proxy server] [proxy port #] # 对于无线设备使用VPN的配置,看看就明白了 # Wireless networks often produce a lot # of duplicate packets. Set this flag # to silence duplicate packet warnings. ;mute-replay-warnings # Root CA 文件的文件名,用于验证Server CA证书合法性,通过easy-rsa/build-ca生成的ca.crt,和Server配置里的ca.crt是同一个文件 ca ca.crt # easy-rsa/build-key生成的key pair文件,上面生成key部分中有提到,不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。 cert elm.crt key elm.key # Server使用build-key-server脚本什成的,在x509 v3扩展中加入了ns-cert-type选项 # 防止VPN client使用他们的keys + DNS hack欺骗vpn client连接他们假冒的VPN Server # 因为他们的CA里没有这个扩展 ns-cert-type server # 和Server配置里一致,ta.key也一致,注意最后参数使用的是1 tls-auth ta.key 1 # 压缩选项,和Server严格一致 comp-lzo # Set log file verbosity. verb 4 |
|
|
||
|