Windows端使用改配置文件需要更名爲:
客戶端證書名.o*** (名稱隨意,擴展名必須爲o***,否則不識別)
##############################################
#針對多個客戶端的Open*** 2.0 的客戶端配置文件示例
#該配置文件可以被多個客戶端使用,當然每個客戶端都應該有自己的證書和密鑰文件
#在Windows上此配置文件的後綴應該是".o***",在Linux/BSD系統中則是".conf"
##############################################
#指定這是一個客戶端,我們將從服務器獲取某些配置文件指令
client
#在大多數系統中,除非你部分禁用或者完全禁用了TUN/TAP接口的防火牆,否則***將不起作用。
;dev tap
dev tun
#在Windows系統中,如果你想配置多個隧道,則需要該指令。
#你需要用到網絡連接面板中TAP-Win32適配器的名稱(例如"MyTap")。
#在XP SP2或更高版本的系統中,你可能需要禁用掉針對TAP適配器的防火牆。
;dev-node MyTap
#指定連接的服務器是採用TCP還是UDP協議(默認是udp,網絡不穩定可使用TCP,注意和服務端保持一致)。
#這裏需要使用與服務器端相同的設置。
;proto tcp
proto udp
#指定服務器的主機名(或IP)以及端口號。
#如果有多個***服務器,爲了實現負載均衡,你可以設置多個remote指令。
remote 192.168.15.234 1194
;remote my-server-2 1194
#如果指定了多個remote指令,啓用該指令將隨機連接其中的一臺服務器,
#否則,客戶端將按照指定的先後順序依次嘗試連接服務器。
;remote-random
#啓用該指令,與服務器連接中斷後將自動重新連接(配合上面的2個參數,實現負載均衡,一臺*** server出問題時,自動切換後自動重新連接(60s)另一臺,不需要人工干預),這在網絡不穩定的情況下(例如:筆記本電腦無線網絡)非常有用。
resolv-retry 60
#大多數客戶端不需要綁定本機特定的端口號(啓用特權端口需要超級管理員權限,因此不要綁定特權端口)
nobind
#在初始化完畢後,降低Open***的權限(該指令僅限於非Windows系統中使用)
;user nobody
;group nobody
#持久化選項可以儘量避免訪問在重啓時由於用戶權限降低而無法訪問的某些資源。
persist-key
persist-tun
#如果你是通過HTTP代理方式來連接到實際的***服務器,請在此處指定代理服務器的主機名(或IP)和端口號。
#如果你的代理服務器需要身份認證,請參考官方手冊頁面。
;http-proxy-retry # 連接失敗時自動重試
;http-proxy [proxy server] [proxy port #]
#無線網絡通常會產生大量的重複數據包。設置此標識將忽略掉重複數據包的警告信息。
;mute-replay-warnings
#SSL/TLS 參數配置。
#更多描述信息請參考服務器端配置文件。
#生產環境中儘量爲每個客戶端單獨分配.crt/.key文件對。
#CA證書可以供所有客戶端相同。
ca ca.crt
;cert user-001.crt
;key user-001.key
auth-user-pass
;auth-user-pass pass.txt
#指定通過檢查證書的nsCertType字段是否爲"server"來驗證服務器端證書。
#這是預防潛在***的一種重要措施。
#爲了使用該功能,你需要在生成服務器端證書時,將其中的nsCertType字段設爲"server"
#easy-rsa文件夾中的build-key-server腳本文件可以達到該目的。
ns-cert-type server
#如果服務器端使用了tls-auth密鑰,那麼每個客戶端也都應該有該密鑰。
;tls-auth ta.key 1
#指定密碼的加密算法。
#如果服務器端啓用了cipher指令選項,那麼你必須也在這裏指定它(與服務端一致)
;cipher x
;cipher BF-CBC
#在***連接中啓用壓縮。
#該指令的啓用/禁用應該與服務器端保持一致。
comp-lzo
#設置日誌文件冗餘級別(0~9)。
#0 表示靜默運行,只記錄致命錯誤。
#4 表示合理的常規用法。
#5 和 6 可以幫助調試連接錯誤。
#9 表示極度冗餘,輸出非常詳細的日誌信息。
verb 3
#忽略過多的重複信息。
#相同類別的信息只有前20條會輸出到日誌文件中。
;mute 20