在#openvpn服务端的监听地址
local 0.0.0.0
#openvpn服务端的监听端口(默认1194)
port 1115
#使用的协议,tcp/udp
proto tcp
#使用三层路由ip隧道(tun),还是二层以太网隧道(tap),一般使用tun
dev tun
#ca证书、服务端证书、服务端秘钥和秘钥交换文件
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
#vpn服务端为自己和客户端分配的ip地址池。
#服务端自己获取网段的第一个地址(此处是10.8.0.1),后为客户端分配其他的可用地址。以后客户端就可以和10.8.0.1进行通信。
注意:以下网段地址不要和已有网段冲突或重复
server 10.8.0.0 255.255.255.0
#使用一个文件记录已分配虚拟ip的客户端和虚拟ip的对应关系。以后openvpn重启时,将可以按照此文件继续为对应的客户端分配此前相同的ip(自动续借ip)
ifconfig-pool-persist ipp.txt
#使用tap模式的时候考虑此选项
server-bridge XXXXXX
#vpn服务端向客户端推送vpn服务端内网网段的路由配置,以便让客户端能够找到服务端的内网。多条路由写多个push指令
push "route 10.0.10.0 255.255.255.0"
Push "route 192.168.10.0 255.255.255.0"
#让vpn客户端之间可以通信。默认情况客户端只能服务端进行通信
#默认此项是注释的,客户端之间不能相互通信
client-to-client
#允许多个客户端使用同一个vpn账号连接服务端
#默认是注释的,不支持多个客户端登录一个账号
duplicate-cn
#每10秒ping一次,120秒后没收到ping就说明对方挂了
keepalive 10 120
#加强认证方式,防攻击。如果配置文件中启用此项(默认是启用的),需要执行openvpn --genkey --secret ta.key,并把ta.key放到/etc/openvpn/server/目录,服务端第二个参数为0;同时客户端也要有此文件,且client.conf中此指令的第二个参数需要为1
tls-auth /etc/openvpn/server/ta.key 0
#选择一个密码。如果在服务器上使用了cipher选项,那么也必须在这里指定它。注意,v2.4客户端/服务端将在tls模式下自动协商AES-256-GCM
cipher AES-256-CBC
#openvpn 2.4版本的vpn才能设置此选项。表示服务端启用lz4的压缩功能 ,传输数据给客户端时会压缩数据包。
Push后在客户端也配置启用lz4的压缩功能,向服务端发数据时也会压缩。如果是2.4版本以下的老版本,则使用用comp-lzo指令
compress lz4-v2
push "compress lz4-v2"
#启用lzo数据压缩格式,此指令用于低于2.4版本的老版本,且如果服务端配置了该指令,客户端也必须要配置
comp-lzo
#并发客户端的连接数
max-clients 1000
#通过ping得知超时时,当重启vpn后将使用同一个秘钥文件以及保持tun连接状态
persist-key
persist-tun
#在文件中输出当前的连接信息,每分钟截断并重写一次该文件
status openvpn-status.log
#log指令表示每次启动vpn时覆盖式记录到指定日志文件中
#log-append则表示每次启动vpn时追加式的记录到指定日志中
#但两者只能选其一,或者不选时记录到rsyslog中
log /var/log/openvpn.log
log-append /var/log/openvpn.log
#日志记录的详细级别
verb 3
#当服务器重新启动时,通知客户端,以便它可以自动重新连接。仅在UDP协议是可用
explicit-exit-notify 1
#沉默的重复信息。最多20条相同消息类别的连续消息将输出到日志
mute 20
Openvpn服务端配置文件参数说明(server.conf)
于 2023-10-27 11:45:56 首次发布