Open***的服务端和客户端配置文件参数详解

最近在研究Open***的应用，虽然该应用作起来很简单，可是深刻的话，有些配置还须要本身去学习了解，这样才能熟练的运用该应用。

一下是我的转载以为很详细的配置文件说明:

Server使用的配置文件server.conf

 

#申明本机使用的IP地址，也能够不说明
;local a.b.c.d
#申明使用的端口，默认1194
port 1194
#申明使用的协议，默认使用UDP，若是使用HTTP proxy，必须使用TCP协议
;proto tcp
proto udp
#申明使用的设备可选tap和tun，tap是二层设备，支持链路层协议。
#tun是ip层的点对点协议，限制稍微多一些，本人习惯使用TAP设备
dev tap
;dev tun
#Open×××使用的ROOT CA，使用build-ca生成的，用于验证客户是证书是否合法
ca ca.crt
#Server使用的证书文件
cert server.crt
#Server使用的证书对应的key，注意文件的权限，防止被盗
key server.key # This file should be kept secret
#CRL文件的申明，被吊销的证书链，这些证书将没法登陆
crl-verify ***crl.pem
#上面提到的生成的Diffie-Hellman文件
dh dh1024.pem
#这是一条命令的合集，若是你是Open×××的老用户，就知道这条命令的来由
#这条命令等效于：
# mode server #Open×××工做在Server模式，能够支持多client同时动态接入
# tls-server #使用TLS加密传输，本端为Server，Client端为tls-client
#
# if dev tun: #若是使用tun设备，等效于如下配置
# ifconfig 10.8.0.1 10.8.0.2 #设置本地tun设备的地址
# ifconfig-pool 10.8.0.4 10.8.0.251 #说明Open×××使用的地址池（用于分配给客户），分别是起始地址、结束地址
# route 10.8.0.0 255.255.255.0 #增长一条静态路由，省略下一跳地址，下一跳为对端地址，这里是: 10.8.0.2
# if client-to-client: #若是使用client-to-client这个选项
# push “route 10.8.0.0 255.255.255.0″ #把这条路由发送给客户端，客户链接成功后自动加入路由表，省略了下一跳地址: 10.8.0.1
# else
# push “route 10.8.0.1″ #不然发送本条路由，这是一个主机路由，省略了子网掩码和下一跳地址，分别为: 255.255.255.255 10.8.0.1
#
# if dev tap: #若是使用tap设备，则等效于如下命令
# ifconfig 10.8.0.1 255.255.255.0 #配置tap设备的地址
# ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 #客户端使用的地址池，分别是起始地址、结束地址、子网掩码
# push “route-gateway 10.8.0.1″ #把环境变量route-gateway传递给客户机
#
server 10.8.0.0 255.255.255.0 #等效于以上命令
#用于记录某个Client得到的IP地址，相似于dhcpd.lease文件，
#防止open***从新启动后“忘记”Client曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
#Bridge状态下相似DHCPD的配置，为客户分配地址，因为这里工做在路由模式，因此不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#经过××× Server往Client push路由，client经过pull指令得到Server push的全部选项并应用
;push “route 192.168.10.0 255.255.255.0″
;push “route 192.168.20.0 255.255.255.0″
#×××启动后，在××× Server上增长的路由，×××中止后自动删除
;route 10.9.0.0 255.255.255.252
#Run script or shell command cmd to validate client
#virtual addresses or routes. 具体查看manual
;learn-address ./script
#其余的一些须要PUSH给Client的选项
#
#使Client的默认网关指向×××，让Client的全部Traffic都经过×××走
;push “redirect-gateway”
#DHCP的一些选项，具体查看Manual
;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″
#若是可让××× Client之间相互访问直接经过open***程序转发，
#不用发送到tun或者tap设备后从新转发，优化Client to Client的访问效率
client-to-client
#若是Client使用的CA的Common Name有重复了，或者说客户都使用相同的CA
#和keys链接×××，必定要打开这个选项，不然只容许一我的链接×××
;duplicate-cn
#NAT后面使用×××，若是×××长时间不通讯，NAT Session可能会失效，
#致使×××链接丢失，为防止之类事情的发生，keepalive提供一个相似于ping的机制，
#下面表示每10秒经过×××的Control通道ping对方，若是连续120秒没法ping通，
#认为链接丢失，并从新启动×××，从新链接
#（对于mode server模式下的open***不会从新链接）。
keepalive 10 120
#上面提到的HMAC防火墙，防止DOS***，对于全部的控制信息，都使用HMAC signature，
#没有HMAC signature的控制信息不予处理，注意server端后面的数字确定使用0，client使用1
tls-auth ta.key 0 # This file is secret
#对数据进行压缩，注意Server和Client一致
comp-lzo
#定义最大链接数
;max-clients 100
#定义运行open***的用户
user nobody
group nobody
#经过keepalive检测超时后，从新启动×××，不从新读取keys，保留第一次使用的keys
persist-key
#经过keepalive检测超时后，从新启动×××，一直保持tun或者tap设备是linkup的，
#不然网络链接会先linkdown而后linkup
persist-tun
#按期把open***的一些状态信息写到文件中，以便本身写程序计费或者进行其余操做
status open***-status.log
#记录日志，每次从新启动open***后删除原有的log信息
log /var/log/open***.log
#和log一致，每次从新启动open***后保留原有的log信息，新信息追加到文件最后
;log-append open***.log
#至关于debug level，具体查看manual
verb 3

 

客户端的配置文件client.conf

 

Linux或Unix下使用扩展名为.conf Windows下使用的是.o***,并把须要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
———————————-
# 申明咱们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的”
client

#指定接口的类型，严格和Server端一致
dev tap
;dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# 使用的协议，与Server严格一致
;proto tcp
proto udp

#设置Server的IP地址和端口，若是有多台机器作负载均衡，能够屡次出现remote关键字

remote 61.1.1.2 1194
;remote my-server-2 1194

# 随机选择一个Server链接，不然按照顺序从上到下依次链接
;remote-random

# 始终从新解析Server的IP地址（若是remote后面跟的是域名），
# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动从新链接时从新解析Server的IP地址
# 这样无需人为从新启动，便可从新接入×××
resolv-retry infinite

# 在本机不邦定任何端口监听incoming数据，Client无需此操做，除非一对一的×××有必要
nobind

# 运行open***用户的身份，旧版本在win下须要把这两行注释掉，新版本无需此操做
user nobody
group nobody

#在Client端增长路由，使得全部访问内网的流量都通过×××出去
#固然也能够在Server的配置文件里头设置，Server配置里头使用的命令是
# push “route 192.168.0.0 255.255.255.0″
route 192.168.0.0 255.255.0.0

# 和Server配置上的功能同样若是使用了chroot或者su功能，最好打开下面2个选项，防止从新启动后找不到keys文件，或者nobody用户没有权限启动tun设备
persist-key
persist-tun

# 若是你使用HTTP代理链接××× Server，把Proxy的IP地址和端口写到下面
# 若是代理须要验证，使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method能够省略，详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# 对于无线设备使用×××的配置，看看就明白了
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# Root CA 文件的文件名，用于验证Server CA证书合法性，经过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不一样客户使用不一样的keys修改如下两行配置并使用他们的keys便可。
cert elm.crt
key elm.key

# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项
# 防止××× client使用他们的keys ＋ DNS hack欺骗*** client链接他们假冒的××× Server
# 由于他们的CA里没有这个扩展
ns-cert-type server

# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1
tls-auth ta.key 1

# 压缩选项，和Server严格一致
comp-lzo

# Set log file verbosity.
verb 4

 

转自：http://hi.baidu.com/chenyun2011/blog/item/87ab0112936c9c0b5baf53e3.html