其实OpenVPN早期的版本仅有点对点模式,即仅有单一的客户端和服务器,官方称之为office模式。而一对多的服务器模式是在后续版本中才有的。在该模式下客户端与服务器采用静态密钥或者TLS密钥来验证彼此的身份,不使用证书的方式。此文主要整理了点对点模式的配置模板。
生成静态密钥的命令是
openvpn --genkey --secret /etc/openvpn/static.key
服务端配置(使用静态密钥)
#配置通讯协议以及标注服务器端 proto tcp-server #使用tun/tap设备,默认是tun dev tun #通讯端口 port 1194 #定义本地IP为10.8.0.1,对端(即客户端)IP为10.8.0.2 ifconfig 10.8.0.1 10.8.0.2 #配置连接建立后要执行的脚本,如添加路由等,默认不使用 ;up /etc/openvpn/office.up #静态密钥的路径 secret /etc/openvpn/static.key #加密算法 cipher AES-128-CBC #使用LZO压缩 comp-lzo adaptive #告知客户端使用LZO压缩 push "comp-lzo adaptive" #此选项使VPN在重连时不重新读取key且不会将tun设备关闭 persist-tun persist-key #配置日志级别 verb 4 #10秒钟ping一次对端以确定对方是否在线,60秒未响应则断开连接 keepalive 10 60 #将OpenVPN以openvpn用户和组的身份运行,提高安全性 user openvpn group openvpn #生成日志路径 log /var/log/openvpn.log log-append /var/log/openvpn.log
客户端配置
#配置协议 proto tcp-client dev tun port 1194 #服务器IP地址 remote x.x.x.x #在服务器中断后自动连接 resolv-retry infinite nobind #客户端本地IP为10.8.0.2,服务端IP为10.8.0.1 ifconfig 10.8.0.2 10.8.0.1 #静态密钥存放地址 secret /etc/openvpn/static.key cipher AES-128-CBC comp-lzo adaptive persist-tun persist-key verb 3 keepalive 10 60