比来在研究OpenVpn的应用,虽然该应用做起来很简单,可是深切的话,有些设置装备摆设还需要自己去进修体味,这样才能谙练的运用该应用。一下是小我转载感受很具体的设置装备摆设文件声名: Server使用的设置装备摆设文件server.conf #声名本机使用的IP地址,也可以不声名;local a.b.c.d#声名使用的端口,默认1194port 1194#声名使用的和谈,默认使用UDP,如不美观使用HTTP proxy,必需使用TCP和谈;proto tcpproto udp#声名使用的设备可选tap和tun,tap是二层设备,撑持链路层和谈。#tun是ip层的点对点和谈,限制稍微多一些,本人习惯使用TAP设备dev tap;dev tun#OpenVPN使用的ROOT CA,使用build-ca生成的,用于验证客户是证书是否正当ca ca.crt#Server使用的证书文件cert server.crt#Server使用的证书对应的key,注重文件的权限,防止被盗key server.key # This file should be kept secret#CRL文件的声名,被明日销的证书链,这些证书将无法登录crl-verify vpncrl.pem#膳缦沔提到的生成的Diffie-Hellman文件dh dh1024.pem#这是一条呼吁的合集,如不美观你是OpenVPN的老用户,就知道这条呼吁的出处#这条呼吁等效于:# mode server #OpenVPN工作在Server模式,可以撑持多client同时动态接入# tls-server #使用TLS加密传输,本端为Server,Client端为tls-client## if dev tun: #如不美观使用tun设备,等效于以下设置装备摆设# ifconfig 10.8.0.1 10.8.0.2 #设置当地tun设备的地址# ifconfig-pool 10.8.0.4 10.8.0.251 #声名OpenVPN使用的地址池(用于分配给客户),分袂是肇端地址、竣事地址# … 继续阅读
比来在研究OpenVpn的应用,虽然该应用做起来很简单,可是深切的话,有些设置装备摆设还需要自己去进修体味,这样才能谙练的运用该应用。一下是小我转载感受很具体的设置装备摆设文件声名: Server使用的设置装备摆设文件server.conf #声名本机使用的IP地址,也可以不声名;local a.b.c.d#声名使用的端口,默认1194port 1194#声名使用的和谈,默认使用UDP,如不美观使用HTTP proxy,必需使用TCP和谈;proto tcpproto udp#声名使用的设备可选tap和tun,tap是二层设备,撑持链路层和谈。#tun是ip层的点对点和谈,限制稍微多一些,本人习惯使用TAP设备dev tap;dev tun#OpenVPN使用的ROOT CA,使用build-ca生成的,用于验证客户是证书是否正当ca ca.crt#Server使用的证书文件cert server.crt#Server使用的证书对应的key,注重文件的权限,防止被盗key server.key # This file should be kept secret#CRL文件的声名,被明日销的证书链,这些证书将无法登录crl-verify vpncrl.pem#膳缦沔提到的生成的Diffie-Hellman文件dh dh1024.pem#这是一条呼吁的合集,如不美观你是OpenVPN的老用户,就知道这条呼吁的出处#这条呼吁等效于:# mode server #OpenVPN工作在Server模式,可以撑持多client同时动态接入# tls-server #使用TLS加密传输,本端为Server,Client端为tls-client## if dev tun: #如不美观使用tun设备,等效于以下设置装备摆设# ifconfig 10.8.0.1 10.8.0.2 #设置当地tun设备的地址# ifconfig-pool 10.8.0.4 10.8.0.251 #声名OpenVPN使用的地址池(用于分配给客户),分袂是肇端地址、竣事地址# route 10.8.0.0 255.255.255.0 #增添一条静态路由,省略下一特意址,下一跳为对端地址,这里是: 10.8.0.2# if client-to-client: #如不美观使用client-to-client这个选项# push route 10.8.0.0 255.255.255.0 #把这条路由发送给客户端,客户毗连成功后自动插手路由表,省略了下一特意址: 10.8.0.1# else# push route 10.8.0.1 #否则发送本条路由,这是一个主机路由,省略了子网掩码和下一特意址,分袂为: 255.255.255.255 10.8.0.1## if dev tap: #如不美观使用tap设备,则等效于以下呼吁# ifconfig 10.8.0.1 255.255.255.0 #设置装备摆设tap设备的地址# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池,分袂是肇端地址、竣事地址、子网掩码# push route-gateway 10.8.0.1 #把情形变量route-gateway传递给客户机#server 10.8.0.0 255.255.255.0 #等效于以上呼吁#用于记实某个Client获得的IP地址,近似于dhcpd.lease文件,#防止openvpn年夜头启动后健忘Client曾经使用过的IP地址ifconfig-pool-persist ipp.txt#Bridge状况下近似DHCPD的设置装备摆设,为客户分配地址,因为这里工作在路由模式,所以不使用;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100#经由过程VPN Server往Client push路由,client经由过程pull指令获得Server push的所有选项并应用;push route 192.168.10.0 255.255.255.0;push route 192.168.20.0 255.255.255.0#VPN启动后,在VPN Server上增添的路由,VPN遏制后自动删除;route 10.9.0.0 255.255.255.252#Run script or shell command cmd to validate client#virtual addresses or routes. 具体查看manual;learn-address ./script#其他的一些需要PUSH给Client的选项##使Client的默认网关指向VPN,让Client的所有Traffic都经由过程VPN走;push redirect-gateway#DHCP的一些选项,具体查看Manual;push dhcp-option DNS 10.8.0.1;push dhcp-option WINS 10.8.0.1#如不美观可以让VPN Client之间彼此访谒直接经由过程openvpn轨范转发,#不用发送到tun或者tap设备后年夜头转发,优化Client to Client的访谒效率client-to-client#如不美观Client使用的CA的Common Name有一再了,或者说客户都使用不异的CA#和keys毗连VPN,必然要打开这个选项,否则只许可一小我毗连VPN;duplicate-cn#NAT后面使用VPN,如不美观VPN长时刻欠亨信,NAT Session可能会失踪效,#导致VPN毗连丢失踪,为防止之类工作的发生,keepalive供给一个近似于ping的机制,#下面暗示每10秒经由过程VPN的Control通道ping对方,如不美观持续120秒无法ping通,#认为毗连丢失踪,并年夜头启动VPN,年夜头毗连#(对于mode server模式下的openvpn不会年夜头毗连)。keepalive 10 120#膳缦沔提到的HMAC防火墙,防止DOS抨击袭击,对于所有的节制信息,都使用HMAC signature,#没有HMAC signature的节制信息不予措置,注重server端后面的数字必定使用0,client使用1tls-auth ta.key 0 # This file is secret#对数据进行压缩,注重Server和Client一致comp-lzo#界说最年夜毗连数;max-clients 100#界耸ё偎行openvpn的用户user nobodygroup nobody#经由过程keepalive检测超时后,年夜头启动VPN,不年夜头篡夺keys,保留第一次使用的keyspersist-key#经由过程keepalive检测超时后,年夜头启动VPN,一向连结tun或者tap设备是linkup的,#否则收集毗连会先linkdown然后linkuppersist-tun#按期把openvpn的一些状况信息写到文件中,以便自己写轨范计费或者进行其他操作status openvpn-status.log#记实日志,每次年夜头启动openvpn后删除原有的log信息log /var/log/openvpn.log#和log一致,每次年夜头启动openvpn后保留原有的log信息,新信息追加到文件最后;log-append openvpn.log#相当于debug level,具体查看manualverb 3 客户端的设置装备摆设文件client.conf Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到设置装备摆设文件地址目录ca.crt elm.crt elm.key ta.key-# 声名我们是一个client,设置装备摆设年夜server端pull过来,如IP地址,路由信息之类Server使用push指令push过来的client#指假寓口的类型,严酷和Server端一致dev tap;dev tun# Windows needs the TAP-Win32 adapter name# from the Network Connections panel# if you have more than /># you may need to disable the firewall# for the TAP adapter.;dev-node MyTap# 使用的和谈,与Server严酷一致;proto tcpproto udp#设置Server的IP地址和端口,如不美观有多台机械做负载平衡,可以多次呈现remote关头字remote 61.1.1.2 1194;remote my-server-2 1194# 随机选择一个Server毗连,否则按照挨次年夜上到虾毗连;remote-random# 始终年夜头解析Server的IP地址(如不美观remote后面跟的是域名),# 保证Server IP地址是动态的使用DDNS动态更新DNS后,Client在自动年夜头毗连时年夜头解析Server的IP地址# 这样无需酬报年夜头启动,即可年夜头接入VPNresolv-retry infinite# 在本机不邦定任何端口监听incoming数据,Client无需此操作,除非一对一的VPN有需要nobind# 运行openvpn用户的身份,旧版本在win下需要把这两行注释失踪,新版本无需此操作user nobodygroup nobody#在Client端增添路由,使得所有访谒内网的流量都经由VPN出去#当然也可以在Server的设置装备摆设文件里头设置,Server设置装备摆设里头使用的呼吁是# push route 192.168.0.0 255.255.255.0route 192.168.0.0 255.255.0.0# 和Server设置装备摆设上的功能一样如不美观使用了chroot或者su功能,最好打开下面2个选项,防止年夜头启动后找不到keys文件,或者nobody用户没有权限启动tun设备persist-keypersist-tun# 如不美观你使用HTTP代办代庖毗连VPN Server,把Proxy的IP地址和端口写到下面# 如不美观代办代庖需要验证,使用http-proxy server port [authfile] [auth-method]# 其中authfile是一个2行的文本文件,用户名和密码各占一行,auth-method可以省略,具体信息查看Manual;http-proxy-retry # retry />;http-proxy [proxy server] [proxy port #]# 对于无线设备使用VPN的设置装备摆设,看看就年夜白了# Wireless networks often produce a lot# of duplicate packets. Set this flag# to silence duplicate packet warnings.;mute-replay-warnings# Root CA 文件的文件名,用于验证Server CA证书正当性,经由过程easy-rsa/build-ca生成的ca.crt,和Server设置装备摆设里的ca.crt是统一个文件ca ca.crt# easy-rsa/build-key生成的key pair文件,膳缦沔生成key部门中有提到,分歧客户使用分歧的keys改削以下两行设置装备摆设并使用他们的keys即可。cert elm.crtkey elm.key# Server使用build-key-server剧本什成的,在x509 v3扩展中插手了ns-cert-type选项# 防止VPN client使用他们的keys + DNS hack棍骗vpn client毗连他们冒充的VPN Server# 因为他们的CA琅缦慊有这个扩展ns-cert-type server# 和Server设置装备摆设里一致,ta.key也一致,注重最后参数使用的是1tls-auth ta.key 1# 压缩选项,和Server严酷一致comp-lzo# Set log file verbosity.verb 4转自己http://hi.baidu.com/chenyun2011/blog/item/87ab0112936c9c0b5baf53e3.html
No comments:
Post a Comment