RHEL5.4 上部署openvpn 服务(4)

7 开启tls-auth功能需要用到一个预共享密钥,此密码经常跟证书等文件一起存放,此预共享密钥可以使用下面的的命令生成
[root@openvpn 2.0]# openvpn --genkey --secret ta.key
8 配置openvpn 服务器端openvpn 主配置文件
 #mkdir /etc/openvpn/keys
 #cp -v keys/{ca.crt,server.crt.server.key,dh1024.pem} /etc/openvpn/keys
 #cp ta.key /etc/openvpn/keys
 #cd /etc/openvpn
#cat openvpn.conf
#openvpn 监听的IP地址
local 1.1.1.1
#openvpn 监听的端口
port 1194
#openvpn 使用的协议,如果使用HTTP proxy ,必须使用TCP协议
;proto tcp
proto udp
#生命使用的设备可选tap 和tun,tap 是二层设备,支持数据链路层协议
#tun 是IP层的点对点协议,限制稍微多一些
dev tun
#Openvpn 使用ROOT CA,使用build-ca 生成的,用于验证客户端证书是否合法
ca /etc/openvpn/keys/ca.crt
#openvpn 服务器server 使用的证书文件
cert /etc/openvpn/keys/server.crt
#openvpn 服务器Server 使用的证书对应的key,注意文件的权限,防止被盗
key /etc/openvpn/keys/server.key # This file should be kept secret
 #builddh 生成的Diffie-Hellman 文件
dh /etc/openvpn/keys/dh1024.pem
#配置VPN 使用的网络,Openvpn 会自动提供基于该网段的DHCP服务,但是不能和任何一方的局域网端重复,并保证唯一性;
#server 端的IP默认会设置为.1 的地址
server 10.8.0.0 255.255.255.0
#防止openvpn 重新启动后”忘记”Client 曾经使用过的IP地址
ifconfig-pool-persist ipp.txt
;server-bridge
 #把该条路由发送给客户端,客户端连接成功后自动加入路由表,省略了下一跳地址
push "route 192.168.1.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
#为客户端指定默认的网关,即是客户端所有的数据流量都通过该网关
push "redirect-gateway def1 bypass-dhcp"
#为客户端指定DNS服务器
 push "dhcp-option DNS 210.5.153.250"
 push "dhcp-option DNS 192.168.0.1"
#配置允许客户端之间进行访问
client-to-client
#开启允许多个客户端同时连接.如果Client使用的CA的Common Name 有重复,或者说客户端都使用相同的CA 和keys 连接VPN,一定要打开这个选项,否则只允许一个人连接
duplicate-cn
#NAT 后面使用的VPN,如果长时间不通信,NAT Session 可能会失效,导致VPN 连接丢失,为防止此类事情发生,keepalive 提供一个类似于ping 的机制,
#下面表示没10 秒通过VPN 的Control 通道ping对方,如果连续120 秒无法ping通.认为连接丢失,并重新启动VPN,重新连接,对于mode server 模式下的openvpn 不会重新连接
keepalive 10 120
;tls-auth ta.key 0 # This file is secret
#在上面提起的HMAC 防火墙,防止DOS 攻击,对于所有的控制信息,都使用HMAC signature ,没有HMAC signature的控制信息不予处理,主要server 后面的数字肯定使用0,client 使用的是1
tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret
;cipher BF-CBC        # Blowfish (default)