openvpn配置文件详解

openvpn中server.conf和client.conf配置文件详解(一)，服务器端配置server.confport1194#申明使用的端口，默认1194prototcp;protoudp#申明使用的协议，默认使用UDP，如果使用HTTPproxy，必须使用TCP协议;devtap//二层设备devtun//能路由的设备#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。tun是ip层的点对点协议ca/etc/openvpn/easy-rsa/keys/ca.crt#OpenVPN使用的ROOTCA，使用build-ca生成的，用于验证客户是证书是否合法cert/etc/openvpn/easy-rsa/keys/centos.crt#Server使用的证书文件key/etc/openvpn/easy-rsa/keys/centos.key#Server使用的证书对应的key，注意文件的权限，防止被盗dh/etc/openvpn/easy-rsa/keys/dh2048.pem#迪菲·赫尔曼密钥auth-user-pass-verify/etc/openvpn/sbwml.shvia-env#openvpn客户端以账号，密码的方式登陆验证账户信息主要sbwml.sh脚本,里面有密码文件的路径设置（文件的账户，密码同占一行，之间用空格隔开。）client-cert-not-required#只使用用户名密码方式验证登录，如果不加，则代 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 需要证书和用户名密码双重验证登录！username-as-common-name#多用户同时登陆时可用同一账户ifconfig-pool-persistipp.txt#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址server10.8.0.0255.255.255.0等行push“route10.8.0.0255.255.255.0″#把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址:10.8.0.1使用push指令在连接时推送到客户端来push“route10.8.0.0255.255.255.0″#把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址:10.8.0.1当客户拔上opnvpn后，可以在系统里看到路由push"redirect-gatewaydef1bypass-dhcp"#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走push"dhcp-optionDNS8.8.8.8"push“dhcp-optionDNS8.8.4.4”#将dns服务器推送到客户端，如果没有，当使用openvpn时无法解析域名duplicate-cn#如果Client使用的CA的CommonName有重复了，或者说客户都使用相同的CA,换句话说，允许多客户端同CA或commonname同时登陆如果客户端都使用相同的证书和密钥连接VPN，一定要打开这个选项，否则每个证书只允许一个人连接VPNclient-to-client# 可以让客户端之间相互访问直接通过openvpn程序转发，根据需要设置keepalive10120#keepalive指令将导致类似于ping命令的消息被来回发送，以便于服务器端和客户端知道对方何时被关闭，每10秒钟ping一次，如果120秒内都没有收到对方的回复，则表示远程连接已经关闭。comp-lzo#对数据进行压缩，注意Server和Client一致persist-keypersist-tun#持久化选项可以尽量避免访问那些在重启之后由于用户权限降低而无法访问的某些资源;usernobody;groupnobody#在完成初始化工作之后，降低OpenVPN守护进程的权限是个不错的主意，该指令仅限于非Windows系统中使用。statusopenvpn-status.log#输出一个简短的状态文件，用于显示当前的连接状态，该文件每分钟都会清空并重写一次。log/var/log/openvpn.log# 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 日志，每次重新启动openvpn后删除原有的log信息log-appendopenvpn.log和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后tls-authta.key0#该文件应该保密#出于SSL/TLS之外更多的安全考虑，创建一个"HMAC防火墙"可以帮助抵御DoS攻击和UDP端口淹没攻击。#你可以使用以下命令来生成：#openvpn--genkey--secretta.key#服务器和每个客户端都需要拥有该密钥的一个拷贝。#第二个参数在服务器端应该为'0'，在客户端应该为'1'。verb3#为日志文件设置适当的冗余级别(0~9)。冗余级别越高，输出的信息越详细。#0表示静默运行，只记录致命错误。#4表示合理的常规用法。#5和6可以帮助调试连接错误。#9表示极度冗余，输出非常详细的日志信息;mute20#重复信息的沉默度。#相同类别的信息只有前20条会输出到日志文件中。;max-clients100#允许并发连接的客户端的最大数量modeserver#OpenVPN工作在Server模式，可以支持多client同时动态接入tls-server#使用TLS加密传输，本端为Server，Client端为tls-clientifconfig10.8.0.110.8.0.2#设置本地tun设备的地址ifconfig-pool10.8.0.410.8.0.251#说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址（二）客户端的配置文件Linux或Unix下使用扩展名为.confWindows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在 目录 工贸企业有限空间作业目录特种设备作业人员作业种类与目录特种设备作业人员目录1类医疗器械目录高值医用耗材参考目录 以window为例：应该需要client.ovpn、ca.crt、client1.crt、client1.key、ta.key#申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”client#指定接口的类型，严格和Server端一致;devtapdevtun#WindowsneedstheTAP-Win32adaptername#fromtheNetworkConnectionspanel#ifyouhavemorethanone.OnXPSP2,#youmayneedtodisablethefirewall#fortheTAPadapter.;dev-nodeMyTap#使用的协议，与Server严格一致prototcp;protoudp#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字remote45.61.198.81194;remotemy-server-21194#随机选择一个Server连接，否则按照顺序从上到下依次连接;remote-random#始终重新解析Server的IP地址（如果remote后面跟的是域名），#保证ServerIP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址#这样无需人为重新启动，即可重新接入VPNresolv-retryinfinite#在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要nobind#运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作usernobodygroupnobody#在Client端增加路由，使得所有访问内网的流量都经过VPN出去#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是#push“route192.168.0.0255.255.255.0″route192.168.0.0255.255.0.0#和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备persist-keypersist-tun#如果你使用HTTP代理连接VPNServer，把Proxy的IP地址和端口写到下面#如果代理需要验证，使用http-proxyserverport[authfile][auth-method]#其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual;http-proxy-retry#retryonconnectionfailures;http-proxy[proxyserver][proxyport#]auth-user-pass客户端弹出用户，密码输入对话框#对于无线设备使用VPN的配置，看看就明白了#Wirelessnetworksoftenproducealot#ofduplicatepackets.Setthisflag#tosilenceduplicatepacketwarnings.;mute-replay-warnings#RootCA文件的文件名，用于验证ServerCA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件caca.crt#easy-rsa/build-key生成的keypair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。certclient1.crtkeyclient1.key#Server使用build-key-server脚本什成的，在x509v3扩展中加入了ns-cert-type选项#防止VPNclient使用他们的keys＋DNShack欺骗vpnclient连接他们假冒的VPNServer#因为他们的CA里没有这个扩展ns-cert-typeserver#和Server配置里一致，ta.key也一致，注意最后参数使用的是1tls-authta.key1#压缩选项，和Server严格一致comp-lzo#Setlogfileverbosity.verb4注意：tls错误，看下你服务器的时间和你本机的时间相差有没超过5分钟，openvpn时间相差5分钟是不能连接的把ca.crt证书放入client.ovpn配置文件 如果你有好几个网站的openvpn配置你可以在config目录下为每一个网站建一个文件夹，也可以都放在config目录下，不过是不是有很多.crt和.key文件很烦人呀，其实你可以把它们都删除了，只需要把他们放入client.ovpn配置文件。 用写字板打开各个client.ovpn文件在最后面添加 <ca> </ca> <cert> </cert> <key> </key> key-direction1 <tls-auth> </tls-auth> 用记事本打开ca.crt把文件内容复制到<ca>和</ca>的中间， 用记事本打开client.crt把文件内容复制到<cert>和</cert>的中间， 用记事本打开client.key把文件内容复制到<key>和</key>的中间， 用记事本打开ta.key把文件内容复制到<tls-auth>和</tls-auth>的中间， （ca.crt、client.crt、client.key、ta.key这些文件不一定全都与，有那些就修改那些；这些文件的名字不一定都是这样，可以在.ovpn配置文件里搜索ca、cert、key、tls-auth看他们所对应的文件名） 修改完成后删除类似 tls-authta.key1 caca.crt certclient.crt keyclient.key 的那几行，然后保.ovpn文件即可删除那些.crt和.key文件而正常使用了（你可以把密码都保存在一个文件夹下，修改如下：把：auth-user-pass改成：auth-user-passpwd/mypass.txt并在client.ovpn所在目录建立pwd文件夹并在此文件夹下建mypass.txt文件…）不同账户对应该不同的内网ip,及外网ip的做法修改server.conf添加一行：client-config-dir/usr/local/openvpn-2.1.3/client添加客户端固定IPcat>/usr/local/openvpn-2.1.3/client/selboo//selboo是您的客户端使用的用户名ifconfig-push10.8.0.110.8.0.2// openvpn只支持255.255.255.252的子网，252子网只有三个IP，一个给客户端，一个给服务器，一个给广播地址所以client目录下面的文件内容只能是：Ctrl+d设置iptablesiptables -I INPUT -p tcp --dport 1194 -m comment --comment "openvpn" -j ACCEPTiptables -t nat -A POSTROUTING -s 10.8.0.1 -j SNAT–to-sourcexxx.xxx.xxx.xxx多账户一一对应ip的脚本如下,有兴趣的可以看一下，Catgenerate.sh#!/bin/bash#>test.txt>/passwdif[-r/etc/openvpn/client/];thenrm-rf/etc/openvpn/clients/*elsemkdir/etc/openvpn/client/fiiptables-Fiptables-tnat-Fn=0m=1sum=`ifconfig|grep'inetaddr:'|grep-v'127.0.0.1'|wc-l`num=`expr$num/64`while[$n-le$num]dox=0y=0z=0if[$n-eq0];thenforiin{1..63}dox=`expr$i\*4`y=`expr$x+1`z=`expr$y+1`echo-e"openvpn"$m"\tclient"$m>>/passwdecho-e"ifconfig-push10.8."$n"."$y"10.8."$n"."$z>>/etc/openvpn/client/openvpn$mecho-e"user:openvpn"$m"\tpasswd:clent"$m"\tip:"`ifconfig|grep'inetaddr:'|grep-v'127.0.0.1'|cut-d:-f2|awk'NR=='$m'{print$1}'`>>./passwdiptables-tnat-APOSTROUTING-s10.8.$n.$y-jSNAT--to-source`ifconfig|grep'inetaddr:'|grep-v'127.0.0.1'|cut-d:-f2|awk'NR=='$m'{print$1}'`if[$m-gt$sum];thenexitfiletm++doneelseforiin{0..63}dox=`expr$i\*4`y=`expr$x+1`z=`expr$y+1`echo-e"openvpn"$m"\tclient"$m>>/passwdecho-e"ifconfig-push10.8."$n"."$y"10.8."$n"."$z>>/etc/openvpn/client/openvpn$mecho-e"user:openvpn"$m"\tpasswd:clent"$m"\tip:"`ifconfig|grep'inetaddr:'|grep-v'127.0.0.1'|cut-d:-f2|awk'NR=='$m'{print$1}'`>>./passwdiptables-tnat-APOSTROUTING-s10.8.$n.$y-jSNAT--to-source`ifconfig|grep'inetaddr:'|grep-v'127.0.0.1'|cut-d:-f2|awk'NR=='$m'{print$1}'`if[$m-eq$sum];thenexitfiletm++donefin=`expr$n+1`doneserveriptablessaveServiceiptablesrestartChkconfigiptableson