Мы — долго запрягаем, быстро ездим, и сильно тормозим.

RFC
Программирование
FreeBSD
man
  security
  sudo
  visudo
  OpenVPN
EXIM


www.lissyara.su —> документация —> man —> security —> OpenVPN

Файл конфигурации OpenVPN сервера

Автор: serge.


#################################################
# Образец файла конфигурации OpenVPN 2.0 для    #
# многоклиентного сервера.                      #
#                                               #
# Этот конфиг файл для серверной стороны        #
# при работе OpenVPN в режиме                   #
# множество клиентов <-> один сервер.           #
#                                               #
# OpenVPN также поддерживает конфигурацию       #
# одиночная машина <-> одиночная машина         #
# (Смотри страницу примеров                     #
# на сайте для получения дополнит. информации). #
#                                               #
# Этот конфиг должен работать на Windows        #
# или Linux/BSD системах. Помните, что в        #
# Windows в путях к файлам используется         #
# двойной обратный слеш, т.е.:                  #
# "C:\\Program Files\\OpenVPN\\config\\foo.key" #
#                                               #
# Коментарии начинаются с символов '#' или ';'  #
#################################################

# Какой локальный IP адрес OpenVPN
# должен слушать? (опционально)
;local a.b.c.d

# Какой TCP/UDP порт должен слушать OpenVPN?
# Если вы хотите запустить несколько OpenVPN процессов
# на одной машине, используйте различные номера
# портов для каждого процесса.  Вы должны
# открыть этот порт в вашем файерволе.
port 1194

# TCP или UDP сервер?
;proto tcp
proto udp

# "dev tun" создаст маршрутизируемый IP туннель,
# "dev tap" создаст ethernet туннель.
# Используйте "dev tap0" если вам нужен мост
# и объедините полученный tap0 виртуальный интерфейс
# в режиме моста с вашим ethernet интерфейсом.
# Если вы хотите управлять правами доступа
# через VPN, вы должны создать правила файервола
# для TUN/TAP интерфейса.
# На не-Windows системах, вы можете указать
# явный номер устройствам, как например, tun0.
# В Windows, используйте для этого "dev-node".
# В большинстве систем, VPN не будет работать
# пока вы частично или польностью не отключите
# файервол для TUN/TAP интерфейса.
;dev tap
dev tun

# В Windows нужно указать имя адаптера TAP-Win32
# в панеле Network Connections, если вы используете
# более чем один адаптер.  В XP SP2 или старших,
# вам возможно придется отключить
# Windows файервол для TAP адаптера.
# Не-Windows системы обычно не требуют этого.
;dev-node MyTap

# SSL/TLS корневой сертификат (ca), сертификат
# (cert), и частный ключ (key).  Каждый клиент
# и сервер должны иметь свой собственный cert и
# ключевой файл. Сервер и все клиенты будут
# использовать один и тот же ca файл.
#
# Смотри в "easy-rsa" директории наборы
# скриптов для генерации RSA сертификатов
# и частных ключей.  Незабывайте использовать
# уникальные общие имена сертификатов для сервера
# и каждого клиента.
#
# Можно использовать любую X509 систему управления ключами.
# OpenVPN может также использовать ключевой файл формата PKCS #12
# (смотри директиву "pkcs12" в man).
ca ca.crt
cert server.crt
key server.key  # Этот файл необходимо хранить в секрете

# Diffie hellman параметры.
# Сгенерируйте ваш собственный:
#   openssl dhparam -out dh1024.pem 1024
# Замените 1024 на 2048, если вы используете
# 2048 битные ключи. 
dh dh1024.pem

# Установите серверный режим и укажите VPN подсеть
# из которой OpenVPN будет выделять адреса клиентам.
# Сервер возьмет себе адрес 10.8.0.1,
# остальные остануться доступными для клиентов.
# На каждом клиенте указывается адрес сервера
# 10.8.0.1. Закоментируйте эту строку, если вы используете
# ethernet мост. Смотри man для получения дополнительной информации.
server 10.8.0.0 255.255.255.0

# Укажите хранить соответствие клиент <-> виртуальный IP адрес
# в файле. Если OpenVPN будет остановлен или
# перезапущен, переприсоединившиеся клиенты смогут получить
# тот же виртуальный IP адрес из пула, что был назначен ранее.
ifconfig-pool-persist ipp.txt

# Установите серверный режим для ethernet моста.
# Вы должны сначала в своей ОС настроить мост
# между TAP и NIC интерфейсом.
# Затем вы должны вручную установить
# IP/маску на мост, к примеру 10.8.0.4/255.255.255.0.
# В заключении мы должны установить диапазон IP
# адресов в этой подсети для выделения клиентам
# (начало=10.8.0.50 конец=10.8.0.100).
# Оставьте эту строку закоментированной, если вы
# не используете ethernet мост.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# Установите клиенту соответствующие маршруты
# для возможности работать с другими подсетями
# за сервером. Помните, что эти подсети так же
# должны знать маршрут к клиентам
# адресного пула OpenVPN (10.8.0.0/255.255.255.0)
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

# Чтобы назначить специфический IP адрес
# специфическому клиенты или если за клиентом
# располагается подсеть, которая тоже использует эту VPN,
# используйте поддиректирию "ccd" для хранения специфических
# файлов конфигурации клиентов (смотри man для получения
# дополнительой информации).

# ПРИМЕР: Допустим клиент
# имеент сертификат с именем "Thelonious",
# а также имеет за собой небольшую подсеть из
# машин с адресами, например 192.168.40.128/255.255.255.248.
# Сначала раскоментируйте эти строки:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Затем создайте файл ccd/Thelonious со следующей строкой:
#   iroute 192.168.40.128 255.255.255.248
# Это разрешить подсети 'Thelonious'
# доступ к VPN. Этот пример будет работать только
# если у вас режим роутера, но не моста, т.е. вы
# используете директивы "dev tun" и "server".

# ПРИМЕР: Допустим вы хотите дать
# Thelonious постоянный VPN IP адрес 10.9.0.1.
# Вначале раскоментируйте следующую строку:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Затем добавьте следующую строку в ccd/Thelonious:
#   ifconfig-push 10.9.0.1 10.9.0.2

# Допустим вы хотите сделать различные права доступа
# на файерволе для различных групп клиентов
# Есть два способв:
# (1) Запустит несколько OpenVPN демонов, по одному на
#     каждую группу, и настроить файервол на каждом TUN/TAP
#     интерфейсе для каждой группы/демона соответственно.
# (2) (Advanced) Создать скрипт для динамической
#     модификации файервола при подключении
#     различных клиентов. Смотри man для получения
#     дополнительной информации по learn-address скрипту.
;learn-address ./script

# Если включена, то эта директива заменит
# всем клиентам их дефолтный шлюз
# на VPN, причем весь IP трафик,
# такой как веб трафик и DNS запросы
# будут направляться через VPN
# (На машине с OpenVPN сервером должен быть настроен NAT
# в интернет с TUN/TAP интерфейса для того чтобы это
# работало правильно).
# ПРЕДОСТЕРЕЖЕНИЕ: У клиента может перестать работать сеть, если
# пакеты на локальный клиентский DHCP сервер
# пойдут через туннель.  Решение: убедитесь что
# локальный DHCP сервер клиента доступен через более
# специфичный маршрут, чем маршрут по умолчанию 0.0.0.0/0.0.0.0.
;push "redirect-gateway"

# Определения Windows-специфичных сетевых параметров
# могут быть переданы клиенту, такие как адреса DNS
# или WINS серверов.  ПРЕДОСТЕРЕЖЕНИЕ:
# http://openvpn.net/faq.html#dhcpcaveats
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"

# Раскоментируйте эту директиву, чтобы
# клиенты могли "видеть" друг друга в сети.
# По умолчанию, клиенты могут видеть только сервер.
# Чтобы заставить клиента видеть только сервер,
# вы должны внести соответствующие правила 
# в файервол сервера, касающиеся TUN/TAP интерфейсов.
;client-to-client

# Раскоментируйте эту директиву для того, чтобы
# многочисленные клиенты могли соединяться с одними и темеже
# сертификатом/ключем или именем.  Это рекомендуется включать только
# на период тестирования.  Для рабочего использования,
# каждый клиент должен иметь личный пару сертификат/ключ
#
# ЕСЛИ ВЫ НЕ СГЕНЕРИРОВАЛИ ИНДИВИДУАЛЬНУЮ
# ПАРУ СЕРТИФИКАТ/КЛЮЧ ДЛЯ КАЖДОГО КЛИЕНТА,
# РАСКОМЕНТИРУЙТЕ ЭТУ ЛИНИЮ.
;duplicate-cn

# keepalive директива устанавливает 
# отправку ping-подобных сообщений
# для того, чтобы каждая сторона знала
# что другая перестала отвечать.
# Пинг каждые 10 секунд, если в течение
# 120 секунд нет ответа, то считается
# что удаленных хост не доступен.
keepalive 10 120

# Для дополнительной безопасности при
# использовании SSL/TLS, создайте "HMAC firewall"
# для защиты от DoS аттак и флуда UDP порта.
#
# Сгенерируйте с помощью:
#   openvpn --genkey --secret ta.key
#
# Сервер и каждый клиент должны иметь
# копию этого ключа.
# Второй параметр выставляется в '0'
# для сервера и '1' для клиентов.
;tls-auth ta.key 0 # Этот файт секретный

# Выберите криптографический сертификат.
# Этот пункт конфига должен копироваться
# в конфиг клиента, так же как он установлен здесь.
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES

# Включить сжатие на VPN линии.
# Если вы включаете это здесь, вы так же
# должны включить сжатие в конфиге клиента.
comp-lzo

# Максимальное число одновременных
# клиентских подключений.
;max-clients 100

# Это хорошая идея запускать процесс OpenVPN
# от имени непривелигированного пользователя.
#
# Вы можете раскоментировать эти строки
# для не-Windows систем.
;user nobody
;group nobody

# Эти опции позволяют избежать необходимости
# получения доступа к определенным ресурсам
# после рестарта, т.к. это может быть невозможным
# из-за понижения привелегий.
persist-key
persist-tun

# Устанавливает файл состояния, в который ежеминутно
# заносятся текущие подключения и ошибки.
status openvpn-status.log

# По умолчанию, логи направляются в syslog (на
# Window, при работе в качестве службы, в
# "\Program Files\OpenVPN\log" каталог).
# Используйте log или log-append чтобы измененить это.
# "log" перенаправит логи в файл,
# тогда как "log-append" добавит еще и вывод в файл.
# Используйте одну из двух (но не обе) директив.
;log         openvpn.log
;log-append  openvpn.log

# Установите необходимый уровень логирования.
#
# 0 - ничего, за исключением фатальных ошибок
# 4 - подойдет для получения общих сведений
# 5 и 6 пригодяться для отладки проблем соединения
# 9 - максимально возможная информация
verb 3

# Запрещает повтор сообщений.  Не более 20
# идущих друг за другом сообщений одного типа
# будут направлены в лог.
;mute 20

Ветка форума для обсуждения статьи



размещено: 2007-11-20,
последнее обновление: 2007-11-20,
автор: serge

оценить статью:

Kolesya, 2007-11-21 в 11:22:57

ca ca.crt
cert server.crt
key server.key
tls-auth ta.key
рекомендую заменить на полный путь к ключам
например так
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
tls-auth /etc/openvpn/ta.key

jekader, 2012-06-28 в 15:54:18

перевод опций log и log-append неверный. В первом случае, при запуске openvpn, старый лог стирается. Во втором - продолжается запись в него.

Одновременную выдачу в syslog и файл, похоже, openvpn не поддерживает


Оставьте свой комментарий:
Ваше имя:   *
e-mail:  
жирный
наклонный
подчёркнутый
ссылка
цвет
Нынешний год:   *
 


Хостинг HOST-FOOD

2014-07-27, lissyara
gmirror

Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9

Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту

Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis

Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS

Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT

В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat

Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp

Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration

Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster

HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS

История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire

Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной

Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server

Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs

Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec

Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash

Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
2010-12-05, Fomalhaut
root ZFS, GPT

Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
2010-09-05, Cancer
Настройка аудиоплеера на ximp3

Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
2010-08-31, Cancer
Установка и настройка OpenVPN

На днях появилась задача - объединить головной офис и 3 филиала в одну сеть через интернет посредством OpenVPN, чтобы люди могли подключаться через RDP к базам 1С на серверах.
2010-08-25, manefesto
freebsd lvm

Использование linux_lvm для работы с LVM разделами из-под FreeBSD. Проблемы которые возники при монтирование lvm раздела
2010-04-30, gonzo111
proftpd file auth&quota

Proftpd - квоты и авторизация из файлов, без использования базы данных и/или системных пользователей
2010-04-22, lissyara
tw_cli

Пошаговая инструкция по восстановлению RAID на контроллере 3ware, из которого выпал один диск. Настройка мониторинга состояния рейда и отчётов о его состоянии на email.
2010-04-14, fox
MySQL Master+Master

MySQL (Master Master) and (Master Slave) Как настроить репликацию…
2010-03-22, Mufanu
named 9.7.0

Система доменных имен (Domain Name Service, DNS) - одна из тех незаметных, закулисных программ, которым не уделяется и половины того внимания, которого они заслуживают.
2010-03-09, terminus
DNS zones

Краткий ликбез про управление DNS зонами. Примеры проведения делегирования прямых и обратных DNS зон.
подписка

    вверх      
Статистика сайта
Сейчас на сайте находится: 19 чел.
За последние 30 мин было: 60 человек
За сегодня было
1680 показов,
368 уникальных IP
 

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK

Время генерации страницы 0.1833 секунд
Из них PHP: 66%; SQL: 34%; Число SQL-запросов: 55 шт.
Исходный размер: 69244; Сжатая: 16401