上一篇
下一篇
OpenVPN客户端配置文件祥解
作者:ququ 日期:2008-11-19
[replyview]
# Linux或Unix下使用扩展名为.conf
# Windows下使用的是.ovpn
# 把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
# 标注自己是个客户端
# 配置从server端pull过来,如IP地址,路由信息之类"Server使用push指令push过来的"
client
# 路由模式或桥模式
# 这项要和服务器端一样
;dev tap
dev tun
# 在Windows上如果你更多的网络接口,你需要在网络连接控制面板上增加
# TAP-Win32适配器接口名
# 在XP SP2或更高系统上,你需要使windows防火墙对该接口不执行过滤规则
# 非Windows系统通常不需要设置这个
;dev-node MyTap
# TCP还是UDP server?
;proto tcp
proto udp
# 远程服务器主机名和端口
# 你可以设置多个服务器来做负载均衡
remote server.teczm.com 1194 #用域名比较好,除非dns DOWN机
;remote my-server-2 1194
# 负载均衡时所用:
# 随机选择一个Server连接,否则按照顺序从上到下依次连接
;remote-random
# 始终重新解析Server的IP地址(如果remote后面跟的是域名),
# 保证Server IP地址是动态的使用DDNS动态更新DNS后,
# Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动,即可重新接入VPN
resolv-retry infinite
# 在本机不绑定任何端口监听incoming数据,
# Client无需此操作,除非一对一的VPN有必要
nobind
# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-key
#通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的,
#否则网络连接会先linkdown然后linkup
persist-tun
# 这项用于通过http代理访问openvpn服务器的情况
# 如果你使用HTTP代理连接VPN Server,把Proxy的IP地址和端口写到下面
# 如果代理需要验证,使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件,用户名和密码各占一行,
# auth-method可以省略,详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# 这项用于无线网络
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings
# 证书/key文件指向
# Root CA 文件的文件名,用于验证Server CA证书合法性,
# 通过easy-rsa/build-ca生成的ca.crt,和Server配置里的ca.crt是同一个文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件,
#上面生成key部分中有提到,不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert client.crt
key client.key
# 该项检测服务器证书可靠性
# Server使用build-key-server脚本生成的,在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys + DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
ns-cert-type server
# If a tls-auth key is used on the server
# then every client must also have the key.
# 和Server配置里一致,ta.key也一致,注意最后参数使用的是1
;tls-auth ta.key 1
# 选择一种加密算法,必需和服务器端一致
;cipher x
# 允许数据压缩
# 这项和服务器配置文件一样
comp-lzo
# 设置日志记录冗长级别
verb 3
# 重复日志记录限额
mute 20
# Linux或Unix下使用扩展名为.conf
# Windows下使用的是.ovpn
# 把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key
# 标注自己是个客户端
# 配置从server端pull过来,如IP地址,路由信息之类"Server使用push指令push过来的"
client
# 路由模式或桥模式
# 这项要和服务器端一样
;dev tap
dev tun
# 在Windows上如果你更多的网络接口,你需要在网络连接控制面板上增加
# TAP-Win32适配器接口名
# 在XP SP2或更高系统上,你需要使windows防火墙对该接口不执行过滤规则
# 非Windows系统通常不需要设置这个
;dev-node MyTap
# TCP还是UDP server?
;proto tcp
proto udp
# 远程服务器主机名和端口
# 你可以设置多个服务器来做负载均衡
remote server.teczm.com 1194 #用域名比较好,除非dns DOWN机
;remote my-server-2 1194
# 负载均衡时所用:
# 随机选择一个Server连接,否则按照顺序从上到下依次连接
;remote-random
# 始终重新解析Server的IP地址(如果remote后面跟的是域名),
# 保证Server IP地址是动态的使用DDNS动态更新DNS后,
# Client在自动重新连接时重新解析Server的IP地址
# 这样无需人为重新启动,即可重新接入VPN
resolv-retry infinite
# 在本机不绑定任何端口监听incoming数据,
# Client无需此操作,除非一对一的VPN有必要
nobind
# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody
#通过keepalive检测超时后,重新启动VPN,不重新读取keys,保留第一次使用的keys
persist-key
#通过keepalive检测超时后,重新启动VPN,一直保持tun或者tap设备是linkup的,
#否则网络连接会先linkdown然后linkup
persist-tun
# 这项用于通过http代理访问openvpn服务器的情况
# 如果你使用HTTP代理连接VPN Server,把Proxy的IP地址和端口写到下面
# 如果代理需要验证,使用http-proxy server port [authfile] [auth-method]
# 其中authfile是一个2行的文本文件,用户名和密码各占一行,
# auth-method可以省略,详细信息查看Manual
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# 这项用于无线网络
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings
# 证书/key文件指向
# Root CA 文件的文件名,用于验证Server CA证书合法性,
# 通过easy-rsa/build-ca生成的ca.crt,和Server配置里的ca.crt是同一个文件
ca ca.crt
# easy-rsa/build-key生成的key pair文件,
#上面生成key部分中有提到,不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。
cert client.crt
key client.key
# 该项检测服务器证书可靠性
# Server使用build-key-server脚本生成的,在x509 v3扩展中加入了ns-cert-type选项
# 防止VPN client使用他们的keys + DNS hack欺骗vpn client连接他们假冒的VPN Server
# 因为他们的CA里没有这个扩展
ns-cert-type server
# If a tls-auth key is used on the server
# then every client must also have the key.
# 和Server配置里一致,ta.key也一致,注意最后参数使用的是1
;tls-auth ta.key 1
# 选择一种加密算法,必需和服务器端一致
;cipher x
# 允许数据压缩
# 这项和服务器配置文件一样
comp-lzo
# 设置日志记录冗长级别
verb 3
# 重复日志记录限额
mute 20
文章来自: 
引用通告: 
Tags: 评论: 0 | 引用: 0 | 查看次数: -
发表评论