1.服務端配置
local 192.168.100.129 #指定監聽的本機IP(因為有些計算機具備多個IP地址),該命令是可選的,默認監聽所有IP地址。 port 1101 #指定監聽的本機端口號 proto tcp #指定采用的傳輸協議,可以選擇tcp或udp dev tap #指定創建的通信隧道類型,可選tun或tap ca ca.crt #指定CA證書的文件路徑 cert server.crt #指定服務器端的證書文件路徑 key server.key #指定服務器端的私鑰文件路徑 dh dh2048.pem #指定迪菲赫爾曼參數的文件路徑 server 10.0.0.0 255.255.255.0 #指定虛擬局域網占用的IP地址段和子網掩碼,此處配置的服務器自身占用10.0.0.1。 ifconfig-pool-persist ipp.txt #服務器自動給客戶端分配IP后,客戶端下次連接時,仍然采用上次的IP地址(第一次分配的IP保存在ipp.txt中,下一次分配其中保存的IP)。 #tls-auth ta.key 0 #開啟TLS,使用ta.key防御攻擊。服務器端的第二個參數值為0,客戶端的為1。 keepalive 10 120 #每10秒ping一次,連接超時時間設為120秒。 comp-lzo #開啟VPN連接壓縮,如果服務器端開啟,客戶端也必須開啟 client-to-client #允許客戶端與客戶端相連接,默認情況下客戶端只能與服務器相連接 persist-key persist-tun #持久化選項可以盡量避免訪問在重啟時由於用戶權限降低而無法訪問的某些資源。 status openvpn-status.log #指定記錄OpenVPN狀態的日志文件路徑 verb 3 #指定日志文件的記錄詳細級別,可選0-9,等級越高日志內容越詳細
2.客戶端配置
client #指定當前VPN是客戶端 dev tap #必須與服務器端的保持一致 proto tcp #必須與服務器端的保持一致 remote 192.168.100.129 1101 #指定連接的遠程服務器的實際IP地址和端口號 resolv-retry infinite #斷線自動重新連接,在網絡不穩定的情況下(例如:筆記本電腦無線網絡)非常有用。 nobind #不綁定特定的本地端口號 persist-key persist-tun ca ca.crt #指定CA證書的文件路徑 cert client.crt #指定當前客戶端的證書文件路徑 key client.key #指定當前客戶端的私鑰文件路徑 #ns-cert-type server #指定采用服務器校驗方式 remote-cert-tls server #tls-auth ta.key 1 #如果服務器設置了防御DoS等攻擊的ta.key,則必須每個客戶端開啟;如果未設置,則注釋掉這一行; comp-lzo #與服務器保持一致 verb 3 #指定日志文件的記錄詳細級別,可選0-9,等級越高日志內容越詳細
2.服務端遇到 Win32 adapters on this system are currently in use"
3.客戶端遇到 --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
#win客戶端修改配置文件注釋一個和添加一個
;ns-cert-type server
remote-cert-tls server