Centos7搭建Open×××
port 1194 #Open*** 服务器监听端口 proto tcp #设置用TCP还是UDP协议。使用udp一般不会有DoS×××,而且能能防止端口被扫描,能保证更安全。dev tun #推荐tun
#定义open***运行时使用哪一种模式,open***有两种运行模式一种是tap模式,一种是tun模式。
#tap模式也就是桥接模式,通过软件在系统中模拟出一个tap设备,该设备是一个二层设备,同时支持链路层协议。
#tun模式也就是路由模式,通过软件在系统中模拟出一个tun路由,tun是ip层的点对点协议。
#具体使用哪一种模式,需要根据自己的业务进行定义。
ca ca.crt #定义open***使用的CA证书文件,该文件通过build-ca命令生成,CA证书主要用于验证客户证书的合法性。
cert server.crt #定义open***服务器端使用的证书文件。
key server.key #定义open***服务器端使用的秘钥文件,该文件必须严格控制其安全性。
dh dh2048.pem #指定 Diffie hellman parameters(密钥交换算法协议)
server 10.8.0.0 255.255.255.0 #配置 ××× 使用的网段,Open××× 会自动提供基于该网段的 DHCP 服务,但不能和任何一方的局域网段重复,保证唯一 。server 端 ip 默认会设为10.8.0.1的地址。
ifconfig-pool-persist ipp.txt #维持一个客户端和 virtual IP 的对应表,以方便客户端重新连接可以获得同样的 IP
push "redirect-gateway def1 bypass-dhcp" #重定向客户端的网关到open***服务器
push "route 192.168.0.0 255.255.255.0" #向客户端推送的路由信息,假如客户端的IP地址为10.8.0.2,要访问192.168.1.0网段的话,使用这条命令就可以了。可以添加多条路由
push "dhcp-option DNS 192.168.0.7" #向客户端推送的DNS信息
push "dhcp-option DNS 192.168.0.8" #向客户端推送的DNS信息
cipher AES-256-CBC #选择一种连接加密算法,Server端和Client端必须一样
user nobody
group nobody
#定义open***运行时使用的用户及用户组,建议加上这两条配置更安全
client-to-client #这条命令可以使客户端之间能相互访问,默认设置下客户端间是不能相互访问的
duplicate-cn #定义open***一个证书在同一时刻是否允许多个客户端接入,默认没有启用。
keepalive 10 120 #设置服务端检测的间隔和超时时间 每 10 秒 ping 一次,如果 120 秒没有回应则认为对方已经 down
comp-lzo #启用允许数据压缩,客户端配置文件也需要有这项
persist-key #通过keepalive检测超时后,重新启动×××,不重新读取keys,保留第一次使用的keys。
persist-tun #通过keepalive检测超时后,重新启动×××,一直保持tun或者tap设备是linkup的。否则网络连接,会先linkdown然后再linkup。
status open***-status.log #把open***的一些状态信息写到文件中,比如客户端获得的IP地址。
log-append open***.log #记录日志,每次重新启动open***后追加原有的log信息。
verb 3 #设置日志要记录的级别。
#0 只记录错误信息。
#4 能记录普通的信息。
#5 和 6 在连接出现问题时能帮助调试
#9 是极端的,所有信息都会显示,甚至连包头等信息都显示(像tcpdump)
mute 20 #相同信息的数量,如果连续出现 20 条相同的信息,将不记录到日志中。
页:
[1]