Open***的服務端和客戶端配置文件參數詳解

最近在研究Open***的應用，雖然該應用作起來很簡單，可是深刻的話，有些配置還須要本身去學習瞭解，這樣才能熟練的運用該應用。

一下是我的轉載以爲很詳細的配置文件說明:

Server使用的配置文件server.conf

 

#申明本機使用的IP地址，也能夠不說明
;local a.b.c.d
#申明使用的端口，默認1194
port 1194
#申明使用的協議，默認使用UDP，若是使用HTTP proxy，必須使用TCP協議
;proto tcp
proto udp
#申明使用的設備可選tap和tun，tap是二層設備，支持鏈路層協議。
#tun是ip層的點對點協議，限制稍微多一些，本人習慣使用TAP設備
dev tap
;dev tun
#Open×××使用的ROOT CA，使用build-ca生成的，用於驗證客戶是證書是否合法
ca ca.crt
#Server使用的證書文件
cert server.crt
#Server使用的證書對應的key，注意文件的權限，防止被盜
key server.key # This file should be kept secret
#CRL文件的申明，被吊銷的證書鏈，這些證書將沒法登陸
crl-verify ***crl.pem
#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
#這是一條命令的合集，若是你是Open×××的老用戶，就知道這條命令的來由
#這條命令等效於：
# mode server #Open×××工做在Server模式，能夠支持多client同時動態接入
# tls-server #使用TLS加密傳輸，本端爲Server，Client端爲tls-client
#
# if dev tun: #若是使用tun設備，等效於如下配置
# ifconfig 10.8.0.1 10.8.0.2 #設置本地tun設備的地址
# ifconfig-pool 10.8.0.4 10.8.0.251 #說明Open×××使用的地址池（用於分配給客戶），分別是起始地址、結束地址
# route 10.8.0.0 255.255.255.0 #增長一條靜態路由，省略下一跳地址，下一跳爲對端地址，這裏是: 10.8.0.2
# if client-to-client: #若是使用client-to-client這個選項
# push 「route 10.8.0.0 255.255.255.0″ #把這條路由發送給客戶端，客戶鏈接成功後自動加入路由表，省略了下一跳地址: 10.8.0.1
# else
# push 「route 10.8.0.1″ #不然發送本條路由，這是一個主機路由，省略了子網掩碼和下一跳地址，分別爲: 255.255.255.255 10.8.0.1
#
# if dev tap: #若是使用tap設備，則等效於如下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap設備的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客戶端使用的地址池，分別是起始地址、結束地址、子網掩碼
# push 「route-gateway 10.8.0.1″ #把環境變量route-gateway傳遞給客戶機
#
server 10.8.0.0 255.255.255.0 #等效於以上命令
#用於記錄某個Client得到的IP地址，相似於dhcpd.lease文件，
#防止open***從新啓動後「忘記」Client曾經使用過的IP地址
ifconfig-pool-persist ipp.txt
#Bridge狀態下相似DHCPD的配置，爲客戶分配地址，因爲這裏工做在路由模式，因此不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#經過××× Server往Client push路由，client經過pull指令得到Server push的全部選項並應用
;push 「route 192.168.10.0 255.255.255.0″
;push 「route 192.168.20.0 255.255.255.0″
#×××啓動後，在××× Server上增長的路由，×××中止後自動刪除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
#virtual addresses or routes. 具體查看manual
;learn-address ./script
#其餘的一些須要PUSH給Client的選項
#
#使Client的默認網關指向×××，讓Client的全部Traffic都經過×××走
;push 「redirect-gateway」
#DHCP的一些選項，具體查看Manual
;push 「dhcp-option DNS 10.8.0.1″
;push 「dhcp-option WINS 10.8.0.1″
#若是可讓××× Client之間相互訪問直接經過open***程序轉發，
#不用發送到tun或者tap設備後從新轉發，優化Client to Client的訪問效率
client-to-client
#若是Client使用的CA的Common Name有重複了，或者說客戶都使用相同的CA
#和keys鏈接×××，必定要打開這個選項，不然只容許一我的鏈接×××
;duplicate-cn
#NAT後面使用×××，若是×××長時間不通訊，NAT Session可能會失效，
#致使×××鏈接丟失，爲防止之類事情的發生，keepalive提供一個相似於ping的機制，
#下面表示每10秒經過×××的Control通道ping對方，若是連續120秒沒法ping通，
#認爲鏈接丟失，並從新啓動×××，從新鏈接
#（對於mode server模式下的open***不會從新鏈接）。
keepalive 10 120
#上面提到的HMAC防火牆，防止DOS***，對於全部的控制信息，都使用HMAC signature，
#沒有HMAC signature的控制信息不予處理，注意server端後面的數字確定使用0，client使用1
tls-auth ta.key 0 # This file is secret
#對數據進行壓縮，注意Server和Client一致
comp-lzo
#定義最大鏈接數
;max-clients 100
#定義運行open***的用戶
user nobody
group nobody
#經過keepalive檢測超時後，從新啓動×××，不從新讀取keys，保留第一次使用的keys
persist-key
#經過keepalive檢測超時後，從新啓動×××，一直保持tun或者tap設備是linkup的，
#不然網絡鏈接會先linkdown而後linkup
persist-tun
#按期把open***的一些狀態信息寫到文件中，以便本身寫程序計費或者進行其餘操做
status open***-status.log
#記錄日誌，每次從新啓動open***後刪除原有的log信息
log /var/log/open***.log
#和log一致，每次從新啓動open***後保留原有的log信息，新信息追加到文件最後
;log-append open***.log
#至關於debug level，具體查看manual
verb 3

 

客戶端的配置文件client.conf

 

Linux或Unix下使用擴展名爲.conf Windows下使用的是.o***,並把須要使用的keys複製到配置文件所在目錄ca.crt elm.crt elm.key ta.key
———————————-
# 申明咱們是一個client，配置從server端pull過來，如IP地址，路由信息之類「Server使用push指令push過來的」
client

#指定接口的類型，嚴格和Server端一致
dev tap
;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# 使用的協議，與Server嚴格一致
;proto tcp
proto udp

#設置Server的IP地址和端口，若是有多臺機器作負載均衡，能夠屢次出現remote關鍵字

remote 61.1.1.2 1194
;remote my-server-2 1194

# 隨機選擇一個Server鏈接，不然按照順序從上到下依次鏈接
;remote-random

# 始終從新解析Server的IP地址（若是remote後面跟的是域名），
# 保證Server IP地址是動態的使用DDNS動態更新DNS後，Client在自動從新鏈接時從新解析Server的IP地址
# 這樣無需人爲從新啓動，便可從新接入×××
resolv-retry infinite

# 在本機不邦定任何端口監聽incoming數據，Client無需此操做，除非一對一的×××有必要
nobind

# 運行open***用戶的身份，舊版本在win下須要把這兩行註釋掉，新版本無需此操做
user nobody
group nobody

#在Client端增長路由，使得全部訪問內網的流量都通過×××出去
#固然也能夠在Server的配置文件裏頭設置，Server配置裏頭使用的命令是
# push 「route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0

# 和Server配置上的功能同樣若是使用了chroot或者su功能，最好打開下面2個選項，防止從新啓動後找不到keys文件，或者nobody用戶沒有權限啓動tun設備
persist-key
persist-tun

# 若是你使用HTTP代理鏈接××× Server，把Proxy的IP地址和端口寫到下面
# 若是代理須要驗證，使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一個2行的文本文件，用戶名和密碼各佔一行，auth-method能夠省略，詳細信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# 對於無線設備使用×××的配置，看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# Root CA 文件的文件名，用於驗證Server CA證書合法性，經過easy-rsa/build-ca生成的ca.crt，和Server配置裏的ca.crt是同一個文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不一樣客戶使用不一樣的keys修改如下兩行配置並使用他們的keys便可。
cert elm.crt
key elm.key

# Server使用build-key-server腳本什成的，在x509 v3擴展中加入了ns-cert-type選項
# 防止××× client使用他們的keys ＋ DNS hack欺騙*** client鏈接他們假冒的××× Server
# 由於他們的CA裏沒有這個擴展
ns-cert-type server

# 和Server配置裏一致，ta.key也一致，注意最後參數使用的是1
tls-auth ta.key 1

# 壓縮選項，和Server嚴格一致
comp-lzo

# Set log file verbosity.
verb 4

 

轉自：http://hi.baidu.com/chenyun2011/blog/item/87ab0112936c9c0b5baf53e3.html