爛泥：open***配置文件詳解

本文首發於爛泥行天下

在上一篇文章《爛泥：ubuntu 14.04搭建Open×××服務器》中，咱們主要講解了open***的搭建與使用，這篇文章咱們來詳細介紹下有關open***的相關配置文件。

open***的配置文件主要有三個：vars、server.conf、client.conf，下面咱們對這三個配置文件進行一一的詳解。

1、vars配置文件

vars配置文件的主要內容以下：

cat vars |grep -vE "^#|^$"

KEY_DIR定義key生成的目錄。

KEY_SIZE定義生成私鑰的大小，通常爲1024或2048，默認爲2048位。這個就是咱們在執行build-dh命令生成dh2048文件的依據。

CA_EXPIRE定義CA證書的有效期，默認是3650天，即10年。

KEY_EXPIRE定義密鑰的有效期，默認是3650天，即10年。

KEY_COUNTRY定義所在的國家。

KEY_PROVINCE定義所在的省份。

KEY_CITY定義所在的城市。

KEY_ORG定義所在的組織。

KEY_EMAIL定義郵箱地址。

KEY_OU定義所在的單位。

KEY_NAME定義open***服務器的名稱。

以上就是vars配置文件的所有內容，有關vars配置文件的使用，咱們也能夠系統的默認配置。

2、server.conf服務器端配置文件

服務器端配置文件server.conf，是這三個配置文件中最重要的一個，也是全部對open***客戶端推送的信息，都是經過這個文件進行配置的。

grep -vE "^#|^$" server.conf

;local a.b.c.d

定義open***監聽的IP地址，若是是服務器單網卡的也能夠不註明，可是服務器是多網卡的建議註明。

port 1194

定義open***監聽的的端口，默認爲1194端口。

proto tcp

;proto udp

定義open***使用的協議，默認使用UDP。若是是生產環境的話，建議使用TCP協議。

dev tun

;dev tap

定義open***運行時使用哪種模式，open***有兩種運行模式一種是tap模式，一種是tun模式。

tap模式也就是橋接模式，經過軟件在系統中模擬出一個tap設備，該設備是一個二層設備，同時支持鏈路層協議。

tun模式也就是路由模式，經過軟件在系統中模擬出一個tun路由，tun是ip層的點對點協議。

具體使用哪種模式，須要根據本身的業務進行定義。

ca ca.crt

定義open***使用的CA證書文件，該文件經過build-ca命令生成，CA證書主要用於驗證客戶證書的合法性。

cert ***ilanni.crt

定義open***服務器端使用的證書文件。

key ***ilanni.key

定義open***服務器端使用的祕鑰文件，該文件必須嚴格控制其安全性。

dh dh2048.pem

定義Diffie hellman文件。

server 10.8.0.0 255.255.255.0

定義open***在使用tun路由模式時，分配給client端分配的IP地址段。

ifconfig-pool-persist ipp.txt

定義客戶端和虛擬ip地址之間的關係。特別是在open***重啓時,再次鏈接的客戶端將依然被分配和斷開以前的IP地址。

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

定義open***在使用tap橋接模式時，分配給客戶端的IP地址段。

;push "route 192.168.10.0 255.255.255.0"

向客戶端推送的路由信息，假如客戶端的IP地址爲10.8.0.2，要訪問192.168.10.0網段的話，使用這條命令就能夠了。

;client-config-dir ccd

這條命令能夠指定客戶端IP地址。

使用方法是在/etc/open***/建立ccd目錄，而後建立在ccd目錄下建立以客戶端命名的文件。好比要設置客戶端 ilanni爲10.8.0.100這個IP地址，只要在 /etc/open***/ccd/ilanni文件中包含以下行便可:

ifconfig-push 10.8.0.200 255.255.255.0

push "redirect-gateway def1 bypass-dhcp"

這條命令能夠重定向客戶端的網關，在進行×××時會使用到。

;push "dhcp-option DNS 208.67.222.222"

向客戶端推送的DNS信息。

假如客戶端的IP地址爲10.8.0.2，要訪問192.168.10.0網段的話，使用這條命令就能夠了。若是有網段的話，能夠屢次出現push route關鍵字。同時還要配合iptables一塊兒使用。

client-to-client

這條命令可使客戶端之間能相互訪問，默認設置下客戶端間是不能相互訪問的。

duplicate-cn

定義open***一個證書在同一時刻是否容許多個客戶端接入，默認沒有啓用。

keepalive 10 120

定義活動鏈接保時期限

comp-lzo

啓用容許數據壓縮，客戶端配置文件也須要有這項。

;max-clients 100

定義最大客戶端併發鏈接數量

;user nobody

;group nogroup

定義open***運行時使用的用戶及用戶組。

persist-key

經過keepalive檢測超時後，從新啓動×××，不從新讀取keys，保留第一次使用的keys。

persist-tun

經過keepalive檢測超時後，從新啓動×××，一直保持tun或者tap設備是linkup的。不然網絡鏈接，會先linkdown而後再linkup。

status open***-status.log

把open***的一些狀態信息寫到文件中，好比客戶端得到的IP地址。

log open***.log

記錄日誌，每次從新啓動open***後刪除原有的log信息。也能夠自定義log的位置。默認是在/etc/open***/目錄下。

;log-append open***.log

記錄日誌，每次從新啓動open***後追加原有的log信息。

verb 3

設置日誌記錄冗長級別。

;mute 20

重複日誌記錄限額

以上就是open***服務器端server.conf配置文件的內容。

3、client.conf客戶端配置文件

open***客戶端的配置文件client.conf比較簡單，以下：

grep -vE "^#|^;|^$" client.o***

client

定義這是一個client，配置從server端pull拉取過來，如IP地址，路由信息之類，Server使用push指令推送過來。

dev tun

定義open***運行的模式，這個地方須要嚴格和Server端保持一致。

proto tcp

定義open***使用的協議，這個地方須要嚴格和Server端保持一致。

remote 192.168.1.8 1194

設置Server的IP地址和端口，這個地方須要嚴格和Server端保持一致。

若是有多臺機器作負載均衡，能夠屢次出現remote關鍵字。

;remote-random

隨機選擇一個Server鏈接，不然按照順序從上到下依次鏈接。該選項默認不啓用。

resolv-retry infinite

始終從新解析Server的IP地址（若是remote後面跟的是域名），保證Server IP地址是動態的使用DDNS動態更新DNS後，Client在自動從新鏈接時從新解析Server的IP地址。這樣無需人爲從新啓動，便可從新接入×××。

nobind

定義在本機不邦定任何端口監聽incoming數據。

persist-key

persist-tun

ca ca.crt

定義CA證書的文件名，用於驗證Server CA證書合法性，該文件必定要與服務器端ca.crt是同一個文件。

cert laptop.crt

定義客戶端的證書文件。

key laptop.key

定義客戶端的密鑰文件。

ns-cert-type server

Server使用build-key-server腳本生成的，在x509 v3擴展中加入了ns-cert-type選項。防止client使用他們的keys ＋ DNS hack欺騙*** client鏈接他們假冒的××× Server，由於他們的CA裏沒有這個擴展。

comp-lzo

啓用容許數據壓縮，這個地方須要嚴格和Server端保持一致。

verb 3

設置日誌記錄冗長級別。