openvpn配置文件详解

openvpn中server.conf和client.conf配置文件详解

(一)，服务器端配置server.conf

port 1194

#申明使用的端口，默认1194 proto tcp ;protoudp

#申明使用的协议，默认使用UDP，如果使用HTTP proxy，必须使用TCP协议 ;dev tap //二层设备

devtun //能路由的设备

#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。tun是ip层的点对点协议

ca /etc/openvpn/easy-rsa/keys/ca.crt

#OpenVPN使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法

cert /etc/openvpn/easy-rsa/keys/centos.crt #Server使用的证书文件

key /etc/openvpn/easy-rsa/keys/centos.key

#Server使用的证书对应的key，注意文件的权限，防止被盗

dh /etc/openvpn/easy-rsa/keys/dh2048.pem # 迪菲·赫尔曼密钥

auth-user-pass-verify /etc/openvpn/sbwml.sh via-env #openvpn客户端以账号，密码的方式登陆验证账户信息主要sbwml.sh脚本,里面有密码文件的路径设置（文件的账户，密码同占一行，之间用空格隔开。）

client-cert-not-required

#只使用用户名密码方式验证登录，如果不加，则代表需要证书和用户名密码双重验证登录！

username-as-common-name

#多用户同时登陆时可用同一账户

ifconfig-pool-persist ipp.txt

#防止openvpn重新启动后“忘记”Client曾经使用过的IP地址

server 10.8.0.0 255.255.255.0等行push “route 10.8.0.0 255.255.255.0″

#把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1

使用push指令在连接时推送到客户端来

push “route 10.8.0.0 255.255.255.0″

#把这条路由发送给客户端，客户连接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1 当客户拔上opnvpn后，可以在系统里看到路由

push \

#使Client的默认网关指向VPN，让Client的所有Traffic都通过VPN走

push \push “dhcp-option DNS 8.8.4.4”

#将dns服务器推送到客户端，如果没有，当使用openvpn时无法解析域名

duplicate-cn

#如果Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA,换句话说，允许多客户端同CA或common name同时登陆如果客户端都使用相同的证书和密钥连接VPN，一定要打开这个选项，否则每个证书只允许一个人连接VPN

client-to-client

# 可以让客户端之间相互访问直接通过openvpn程序转发，根据需要设置

keepalive 10 120

#keepalive指令将导致类似于ping命令的消息被来回发送，以便于服务器端和客户端知道对方何时被关闭，每10秒钟ping一次，如果120秒内都没有收到对方的回复，则表示远程连接已经关闭。

comp-lzo

#对数据进行压缩，注意Server和Client一致

persist-key persist-tun

# 持久化选项可以尽量避免访问那些在重启之后由于用户权限降低而无法访问的某些资源 ;user nobody ;group nobody

# 在完成初始化工作之后，降低OpenVPN守护进程的权限是个不错的主意，该指令仅限于非Windows系统中使用。

status openvpn-status.log

# 输出一个简短的状态文件，用于显示当前的连接状态，该文件每分钟都会清空并重写一次。

log /var/log/openvpn.log

#记录日志，每次重新启动openvpn后删除原有的log信息

log-append openvpn.log

和log一致，每次重新启动openvpn后保留原有的log信息，新信息追加到文件最后

tls-authta.key 0 # 该文件应该保密

# 出于SSL/TLS之外更多的安全考虑，创建一个\防火墙\可以帮助抵御DoS攻击和UDP端口淹没攻击。 # 你可以使用以下命令来生成：

# openvpn --genkey --secret ta.key

# 服务器和每个客户端都需要拥有该密钥的一个拷贝。 # 第二个参数在服务器端应该为'0'，在客户端应该为'1'。

verb 3

# 为日志文件设置适当的冗余级别(0~9)。冗余级别越高，输出的信息越详细。 # 0 表示静默运行，只记录致命错误。 # 4 表示合理的常规用法。

# 5 和 6 可以帮助调试连接错误。

# 9 表示极度冗余，输出非常详细的日志信息

;mute 20

# 重复信息的沉默度。

# 相同类别的信息只有前20条会输出到日志文件中。

;max-clients 100

# 允许并发连接的客户端的最大数量

mode server

#OpenVPN工作在Server模式，可以支持多client同时动态接入

tls-server

#使用TLS加密传输，本端为Server，Client端为tls-client

ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址

ifconfig-pool 10.8.0.4 10.8.0.251

#说明OpenVPN使用的地址池（用于分配给客户），分别是起始地址、结束地址

（二）客户端的配置文件

Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录以window为例：应该需要client.ovpn、ca.crt、client1.crt、client1.key、ta.key

# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”

client

#指定接口的类型，严格和Server端一致 ;dev tap devtun

# Windows needs the TAP-Win32 adapter name # from the Network Connections panel # if you have more than one. On XP SP2, # you may need to disable the firewall # for the TAP adapter. ;dev-node MyTap

# 使用的协议，与Server严格一致 proto tcp ;proto udp

#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字

remote 45.61.198.8 1194 ;remote my-server-2 1194

# 随机选择一个Server连接，否则按照顺序从上到下依次连接 ;remote-random

# 始终重新解析Server的IP地址（如果remote后面跟的是域名）， # 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址

# 这样无需人为重新启动，即可重新接入VPN resolv-retry infinite

# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要 nobind

# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作 user nobody group nobody

#在Client端增加路由，使得所有访问内网的流量都经过VPN出去

#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是 # push “route 192.168.0.0 255.255.255.0″ route 192.168.0.0 255.255.0.0

# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防

止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备 persist-key persist-tun

# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面 # 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]

# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual

;http-proxy-retry # retry on connection failures ;http-proxy [proxy server] [proxy port #]

auth-user-pass

客户端弹出用户，密码输入对话框

# 对于无线设备使用VPN的配置，看看就明白了 # Wireless networks often produce a lot # of duplicate packets. Set this flag # to silence duplicate packet warnings. ;mute-replay-warnings

# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件 ca ca.crt

# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。 cert client1.crt key client1.key

# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项

# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server # 因为他们的CA里没有这个扩展 ns-cert-type server

# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1 tls-authta.key 1

# 压缩选项，和Server严格一致 comp-lzo

# Set log file verbosity. verb 4

注意：tls错误，看下你服务器的时间和你本机的时间相差有没超过5分钟，openvpn时间相差5分钟是不能连接的

把ca.crt证书放入client.ovpn配置文件

如果你有好几个网站的openvpn配置你可以在config目录下为每一个网站建一个文件夹，也可以都放在config目录下，不过是不是有很多.crt和.key文件很烦人呀，其实你可以把它们都删除了，只需要把他们放入client.ovpn配置文件。

用写字板打开各个client.ovpn文件在最后面添加

key-direction 1

用记事本打开ca.crt把文件内容复制到和的中间，

用记事本打开client.crt把文件内容复制到和的中间，

用记事本打开client.key把文件内容复制到和的中间，

用记事本打开ta.key把文件内容复制到和的中间，

（ca.crt、client.crt、client.key、ta.key这些文件不一定全都与，有那些就修改那些；这些文件的名字不一定都是这样，可以在.ovpn配置文件里搜索ca、cert、key、tls-auth看他们所对应的文件名）

修改完成后删除类似

tls-authta.key 1 ca ca.crt cert client.crt key client.key

的那几行，然后保.ovpn文件即可删除那些.crt和.key文件而正常使用了（你可以把密码都

保存在一个文件夹下，修改如下：把：auth-user-pass 改成：auth-user-pass pwd/mypass.txt 并在client.ovpn所在目录建立pwd文件夹并在此文件夹下建mypass.txt文件…）

不同账户对应该不同的内网ip,及外网ip的做法

修改server.conf添加一行：

client-config-dir /usr/local/openvpn-2.1.3/client 添加客户端固定IP

cat > /usr/local/openvpn-2.1.3/client/selboo //selboo是您的客户端使用的用户名 ifconfig-push 10.8.0.1 10.8.0.2 // openvpn只支持255.255.255.252 的子网，252 子网只有三个IP，一个给客户端，一个给服务器，一个给广播地址 所以client目录下面的文件内容只能是： Ctrl+d

设置iptables

iptables -I INPUT -p tcp --dport 1194 -m comment --comment \ -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.8.0.1 -j SNAT –to-source xxx.xxx.xxx.xxx

多账户一一对应ip的脚本如下,有兴趣的可以看一下， Cat generate.sh #!/bin/bash #>test.txt >/passwd

if [ -r /etc/openvpn/client/ ]; then rm -rf /etc/openvpn/clients/* else

mkdir /etc/openvpn/client/ fi

iptables -F

iptables -t nat -F n=0 m=1

sum=`ifconfig | grep 'inetaddr:'| grep -v '127.0.0.1' | wc -l` num=`expr $num / 64` while [ $n -le $num ] do x=0 y=0

z=0

if [ $n -eq 0 ];then for i in {1..63} do

x=`expr $i \\* 4` y=`expr $x + 1` z=`expr $y + 1`

echo -e \

echo -e \ echo -e \'127.0.0.1' | cut -d: -f2 | awk 'NR=='$m'{ print $1}'` >>./passwd

iptables -t nat -A POSTROUTING -s 10.8.$n.$y -j SNAT --to-source `ifconfig | grep 'inetaddr:'| grep -v '127.0.0.1' | cut -d: -f2 | awk 'NR=='$m'{ print $1}'` if [ $m -gt $sum ];then exit fi

let m++ done else

for i in {0..63} do

x=`expr $i \\* 4` y=`expr $x + 1` z=`expr $y + 1`

echo -e \

echo -e \ echo -e \'127.0.0.1' | cut -d: -f2 | awk 'NR=='$m'{ print $1}'` >>./passwd

iptables -t nat -A POSTROUTING -s 10.8.$n.$y -j SNAT --to-source `ifconfig | grep 'inetaddr:'| grep -v '127.0.0.1' | cut -d: -f2 | awk 'NR=='$m'{ print $1}'` if [ $m -eq $sum ];then exit fi

let m++ done fi

n=`expr $n + 1` done

server iptables save Service iptables restart Chkconfigiptables on

本文来源：https://www.bwwdw.com/article/6e3o.html