openvpn配置文件詳解

來源:本站原創 Linux 超過1,110 views圍觀 0條評論

————配置文件說明

;local a.b.c.d

定義openvpn監聽的IP地址,如果是服務器單網卡的也可以不注明,但是服務器是多網卡的建議注明。

port 1194

定義openvpn監聽的的端口,默認為1194端口。

proto tcp

;proto udp

定義openvpn使用的協議,默認使用UDP。如果是生產環境的話,建議使用TCP協議。

dev tun

;dev tap

定義openvpn運行時使用哪一種模式,openvpn有兩種運行模式一種是tap模式,一種是tun模式。

tap模式也就是橋接模式,通過軟件在系統中模擬出一個tap設備,該設備是一個二層設備,同時支持鏈路層協議。

tun模式也就是路由模式,通過軟件在系統中模擬出一個tun路由,tun是ip層的點對點協議。

具體使用哪一種模式,需要根據自己的業務進行定義。

ca ca.crt

定義openvpn使用的CA證書文件,該文件通過build-ca命令生成,CA證書主要用于驗證客戶證書的合法性。

cert vpnilanni.crt

定義openvpn服務器端使用的證書文件。

key vpnilanni.key

定義openvpn服務器端使用的秘鑰文件,該文件必須嚴格控制其安全性。

dh dh2048.pem

定義Diffie hellman文件。

server 10.8.0.0 255.255.255.0

定義openvpn在使用tun路由模式時,分配給client端分配的IP地址段。

ifconfig-pool-persist ipp.txt

定義客戶端和虛擬ip地址之間的關系。特別是在openvpn重啟時,再次連接的客戶端將依然被分配和斷開之前的IP地址。

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

定義openvpn在使用tap橋接模式時,分配給客戶端的IP地址段。

;push “route 192.168.10.0 255.255.255.0”

向客戶端推送的路由信息,假如客戶端的IP地址為10.8.0.2,要訪問192.168.10.0網段的話,使用這條命令就可以了。

;client-config-dir ccd

這條命令可以指定客戶端IP地址。

使用方法是在/etc/openvpn/創建ccd目錄,然后創建在ccd目錄下創建以客戶端命名的文件。比如要設置客戶端 ilanni為10.8.0.100這個IP地址,只要在 /etc/openvpn/ccd/ilanni文件中包含如下行即可:

ifconfig-push 10.8.0.200 255.255.255.0

push “redirect-gateway def1 bypass-dhcp”

這條命令可以重定向客戶端的網關,在進行翻墻時會使用到。

;push “dhcp-option DNS 208.67.222.222”

向客戶端推送的DNS信息。

假如客戶端的IP地址為10.8.0.2,要訪問192.168.10.0網段的話,使用這條命令就可以了。如果有網段的話,可以多次出現push route關鍵字。同時還要配合iptables一起使用。

client-to-client

這條命令可以使客戶端之間能相互訪問,默認設置下客戶端間是不能相互訪問的。

duplicate-cn

定義openvpn一個證書在同一時刻是否允許多個客戶端接入,默認沒有啟用。

keepalive 10 120

定義活動連接保時期限

comp-lzo

啟用允許數據壓縮,客戶端配置文件也需要有這項。

;max-clients 100

定義最大客戶端并發連接數量

;user nobody

;group nogroup

定義openvpn運行時使用的用戶及用戶組。

persist-key

通過keepalive檢測超時后,重新啟動VPN,不重新讀取keys,保留第一次使用的keys。

persist-tun

通過keepalive檢測超時后,重新啟動VPN,一直保持tun或者tap設備是linkup的。否則網絡連接,會先linkdown然后再linkup。

status openvpn-status.log

把openvpn的一些狀態信息寫到文件中,比如客戶端獲得的IP地址。

log openvpn.log

記錄日志,每次重新啟動openvpn后刪除原有的log信息。也可以自定義log的位置。默認是在/etc/openvpn/目錄下。

;log-append openvpn.log

記錄日志,每次重新啟動openvpn后追加原有的log信息。

verb 3

設置日志記錄冗長級別。

;mute 20

重復日志記錄限額

以上就是openvpn服務器端server.conf配置文件的內容。

———–客戶端配置文件說明

client

定義這是一個client,配置從server端pull拉取過來,如IP地址,路由信息之類,Server使用push指令推送過來。

dev tun

定義openvpn運行的模式,這個地方需要嚴格和Server端保持一致。

proto tcp

定義openvpn使用的協議,這個地方需要嚴格和Server端保持一致。

remote 192.168.1.8 1194

設置Server的IP地址和端口,這個地方需要嚴格和Server端保持一致。

如果有多臺機器做負載均衡,可以多次出現remote關鍵字。

;remote-random

隨機選擇一個Server連接,否則按照順序從上到下依次連接。該選項默認不啟用。

resolv-retry infinite

始終重新解析Server的IP地址(如果remote后面跟的是域名),保證Server IP地址是動態的使用DDNS動態更新DNS后,Client在自動重新連接時重新解析Server的IP地址。這樣無需人為重新啟動,即可重新接入VPN。

nobind

定義在本機不邦定任何端口監聽incoming數據。

persist-key

persist-tun

ca ca.crt

定義CA證書的文件名,用于驗證Server CA證書合法性,該文件一定要與服務器端ca.crt是同一個文件。

cert laptop.crt

定義客戶端的證書文件。

key laptop.key

定義客戶端的密鑰文件。

ns-cert-type server

Server使用build-key-server腳本生成的,在x509 v3擴展中加入了ns-cert-type選項。防止client使用他們的keys + DNS hack欺騙vpn client連接他們假冒的VPN Server,因為他們的CA里沒有這個擴展。

comp-lzo

啟用允許數據壓縮,這個地方需要嚴格和Server端保持一致。

verb 3

設置日志記錄冗長級別。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=3862轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏