Open*** 配置參數詳解

# #號和;號開頭的都是註釋
# 設置監聽 IP，默認是監聽所有 IP
#local 116.6.45.23
#Open*** 服務器監聽端口
port 2194
# 設置用 TCP 還是 UDP 協議？
;proto tcp
proto udp
# 設置創建 tun 的路由 IP 通道，還是創建 tap 的以太網通道
# 路由 IP 容易控制，所以推薦使用它；但如果如 IPX 等必須
# 使用第二層才能通過的通訊，則可以用 tap 方式，tap 也
# 就是以太網橋接
dev tun
# 配置 *** 使用的網段，Open*** 會自動提供基於該網段的 DHCP
# 服務，但不能和任何一方的局域網段重複，保證唯一
# server 端 ip 默認會設爲.1 的地址。
server 10.9.0.0 255.255.255.0
# 爲客戶端創建對應的路由,以另其通達公司網內部服務器
# 但記住，公司網內部服務器也需要有可用路由返回到客戶端
push "route 172.18.2.0 255.255.255.0"
# 維持一個客戶端和 virtual IP 的對應表，以方便客戶端重新
# 連接可以獲得同樣的 IP
ifconfig-pool-persist    /usr/local/etc/ipp.txt
# 用 Open*** 的 DHCP 功能爲客戶端提供指定的 DNS、WINS 等
push "dhcp-option DNS 172.18.2.23"
push "dhcp-option DNS 202.96.128.86"
# 這裏是重點，必須指定 SSL/TLS root certificate (ca),
# certificate(cert), and private key (key)
# ca 文件是服務端和客戶端都必須使用的，但不需要 ca.key
# 服務端和客戶端指定各自的.crt 和.key
# 請注意路徑,可以使用以配置文件開始爲根的相對路徑,
# 也可以使用絕對路徑
# 請小心存放.key 密鑰文件
ca /usr/local/etc/keys/ca.crt
cert /usr/local/etc/keys/server.crt
key /usr/local/etc/keys/server.key
# 指定 Diffie hellman parameters.
dh /usr/local/etc/keys/dh1024.pem
#用於吊銷客戶證書
crl-verify /usr/local/etc/keys/***crl.pem
#增強安全性
# Generate with:
# open*** --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be 0
# on the server and 1 on the clients.
tls-auth /usr/local/etc/keys/ta.key 0
# 設置服務端檢測的間隔和超時時間 每 10 秒 ping 一次，如果 120 秒沒有迴應則認爲對方已經 down
keepalive 10 120
# 使用 lzo 壓縮的通訊,服務端和客戶端都必須配置
comp-lzo
# 輸出短日誌,每分鐘刷新一次,以顯示當前的客戶端
status /var/log/open***-status.log
#設置日誌要記錄的級別。
#0 只記錄錯誤信息。
#4 能記錄普通的信息。
#5 和 6 在連接出現問題時能幫助調試
#9 是極端的，所有信息都會顯示，甚至連包頭等信息都顯示（像 tcpdump）
verb 4
#相同信息的數量，如果連續出現 20 條相同的信息，將不記錄到日誌中。
mute 20
# 讓 Open*** 以 nobody 用戶和組來運行（安全）
user nobody
group nobody
# The persist options will try to avoid
# accessing certain resources on restart
# that may no longer be accessible because
# of the privilege downgrade.
# 重啓時仍保留一些狀態
persist-key
persist-tun
                                其他參數 ######################################
###################
# 爲特定的客戶端指定 IP 或指定路由,該路由通常是客戶端後面的
# 內網網段,而不是服務端連接的網段
# ccd 是/etc/open*** 下的目錄，其中建有希望限制的客戶端 Common
# Name 爲文件名的文件,並通過下面的命令寫入固定 IP 地址
# 例如 Common Name 爲 client1,則在/etc/open***/ccd/client1 寫有：
# ifconfig-push 10.9.0.1 10.9.0.2
client-config-dir /usr/local/etc/ccd
# 若客戶端希望所有的流量都通過 *** 傳輸,則可以使用該語句
# 其會自動改變客戶端的網關爲 *** 服務器,推薦關閉
# 一旦設置，請小心服務端的 DHCP 設置問題
;push "redirect-gateway"
# 如果您希望有相同 Common Name 的客戶端都可以登陸
# 也可以註釋下面的語句,推薦每個客戶端都使用不用的 Common Name
# 常用於測試
;duplicate-cn
# 設置最大用戶數
#max-clients 3
# 打開管理界面,可以定義監控的 IP 和端口
management localhost 7505
# 缺省日誌會記錄在系統日誌中，但也可以導向到其他地方
# 建議調試的使用先不要設置,調試完成後再定義
;log /var/log/open***/open***.log
;log-append /var/log/open***/open***.log
# 配置爲以太網橋模式,但需要使用系統的橋接功能
# 這裏不需要使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#記錄日誌，每次重新啓動 open*** 後刪除原有的 log 信息
log /var/log/open***.log
#和 log 一致，每次重新啓動 open*** 後保留原有的 log 信息，新信息追加到文件最後
;log-append open***.log
#定義運行 open*** 的用戶
user nobody
group nobody
#Run script or shell command cmd to validate client
#virtual addresses or routes. 具體查看 manual
;learn-address ./script
#其它的一些需要 PUSH 給 Client
#用於記錄某個 Client 獲得的 IP 地址，類似於 dhcpd.lease 文件，
#防止 open*** 重新啓動後“忘記”Client 曾經使用過的 IP 地址
ifconfig-pool-persist ipp.txt
#Bridge 狀態下類似 DHCPD 的配置，爲客戶分配地址，由於這裏工作在路由模式，所以不使用
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
# 隨機選擇一個 Server 連接，否則按照順序從上到下依次連接
;remote-random
# 始終重新解析 Server 的 IP 地址（如果 remote 後面跟的是域名）                 ，
# 保證 Server IP 地址是動態的使用 DDNS 動態更新 DNS 後，Client 在自動重新連接時重新解析 Server 的
IP 地址
# 這樣無需人爲重新啓動，即可重新接入 ***
resolv-retry infinite
# 在本機不邦定任何端口監聽 incoming 數據，Client 無需此操作，除非一對一的 *** 有必要
nobind
# 如果你使用 HTTP 代理連接 *** Server，把 Proxy 的 IP 地址和端口寫到下面
# 如果代理需要驗證，使用 http-proxy server port [authfile] [auth-method]
# 其中 authfile 是一個 2 行的文本文件，用戶名和密碼各佔一行，auth-method 可以省略，詳
細信息查看 Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# Server 使用 build-key-server 腳本什成的，在 x509 v3 擴展中加入了 ns-cert-type 選項
# 防止 *** client 使用他們的 keys ＋ DNS hack 欺騙 *** client 連接他們假冒的 *** Server
# 因爲他們的 CA 裏沒有這個擴展
ns-cert-type server
a.定義 tun 爲使用路由方式的 ***
b.小心處理證書的路徑，.key 文件要保存好，特別是 ca.key。
（ca.key 不需要在 Open*** 中用到，可以另外保存）
注意，每個虛擬 tun 網卡都是成對的，只有 inet addr 標識的纔是用於 *** 通訊。並且必須在/30 網段