|
|
www.lissyara.su
—> документация
—> man
—> security
—> OpenVPN
Файл конфигурации OpenVPN сервера
Автор: serge.
#################################################
# Образец файла конфигурации OpenVPN 2.0 для #
# многоклиентного сервера. #
# #
# Этот конфиг файл для серверной стороны #
# при работе OpenVPN в режиме #
# множество клиентов <-> один сервер. #
# #
# OpenVPN также поддерживает конфигурацию #
# одиночная машина <-> одиночная машина #
# (Смотри страницу примеров #
# на сайте для получения дополнит. информации). #
# #
# Этот конфиг должен работать на Windows #
# или Linux/BSD системах. Помните, что в #
# Windows в путях к файлам используется #
# двойной обратный слеш, т.е.: #
# "C:\\Program Files\\OpenVPN\\config\\foo.key" #
# #
# Коментарии начинаются с символов '#' или ';' #
#################################################
# Какой локальный IP адрес OpenVPN
# должен слушать? (опционально)
;local a.b.c.d
# Какой TCP/UDP порт должен слушать OpenVPN?
# Если вы хотите запустить несколько OpenVPN процессов
# на одной машине, используйте различные номера
# портов для каждого процесса. Вы должны
# открыть этот порт в вашем файерволе.
port 1194
# TCP или UDP сервер?
;proto tcp
proto udp
# "dev tun" создаст маршрутизируемый IP туннель,
# "dev tap" создаст ethernet туннель.
# Используйте "dev tap0" если вам нужен мост
# и объедините полученный tap0 виртуальный интерфейс
# в режиме моста с вашим ethernet интерфейсом.
# Если вы хотите управлять правами доступа
# через VPN, вы должны создать правила файервола
# для TUN/TAP интерфейса.
# На не-Windows системах, вы можете указать
# явный номер устройствам, как например, tun0.
# В Windows, используйте для этого "dev-node".
# В большинстве систем, VPN не будет работать
# пока вы частично или польностью не отключите
# файервол для TUN/TAP интерфейса.
;dev tap
dev tun
# В Windows нужно указать имя адаптера TAP-Win32
# в панеле Network Connections, если вы используете
# более чем один адаптер. В XP SP2 или старших,
# вам возможно придется отключить
# Windows файервол для TAP адаптера.
# Не-Windows системы обычно не требуют этого.
;dev-node MyTap
# SSL/TLS корневой сертификат (ca), сертификат
# (cert), и частный ключ (key). Каждый клиент
# и сервер должны иметь свой собственный cert и
# ключевой файл. Сервер и все клиенты будут
# использовать один и тот же ca файл.
#
# Смотри в "easy-rsa" директории наборы
# скриптов для генерации RSA сертификатов
# и частных ключей. Незабывайте использовать
# уникальные общие имена сертификатов для сервера
# и каждого клиента.
#
# Можно использовать любую X509 систему управления ключами.
# OpenVPN может также использовать ключевой файл формата PKCS #12
# (смотри директиву "pkcs12" в man).
ca ca.crt
cert server.crt
key server.key # Этот файл необходимо хранить в секрете
# Diffie hellman параметры.
# Сгенерируйте ваш собственный:
# openssl dhparam -out dh1024.pem 1024
# Замените 1024 на 2048, если вы используете
# 2048 битные ключи.
dh dh1024.pem
# Установите серверный режим и укажите VPN подсеть
# из которой OpenVPN будет выделять адреса клиентам.
# Сервер возьмет себе адрес 10.8.0.1,
# остальные остануться доступными для клиентов.
# На каждом клиенте указывается адрес сервера
# 10.8.0.1. Закоментируйте эту строку, если вы используете
# ethernet мост. Смотри man для получения дополнительной информации.
server 10.8.0.0 255.255.255.0
# Укажите хранить соответствие клиент <-> виртуальный IP адрес
# в файле. Если OpenVPN будет остановлен или
# перезапущен, переприсоединившиеся клиенты смогут получить
# тот же виртуальный IP адрес из пула, что был назначен ранее.
ifconfig-pool-persist ipp.txt
# Установите серверный режим для ethernet моста.
# Вы должны сначала в своей ОС настроить мост
# между TAP и NIC интерфейсом.
# Затем вы должны вручную установить
# IP/маску на мост, к примеру 10.8.0.4/255.255.255.0.
# В заключении мы должны установить диапазон IP
# адресов в этой подсети для выделения клиентам
# (начало=10.8.0.50 конец=10.8.0.100).
# Оставьте эту строку закоментированной, если вы
# не используете ethernet мост.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
# Установите клиенту соответствующие маршруты
# для возможности работать с другими подсетями
# за сервером. Помните, что эти подсети так же
# должны знать маршрут к клиентам
# адресного пула OpenVPN (10.8.0.0/255.255.255.0)
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
# Чтобы назначить специфический IP адрес
# специфическому клиенты или если за клиентом
# располагается подсеть, которая тоже использует эту VPN,
# используйте поддиректирию "ccd" для хранения специфических
# файлов конфигурации клиентов (смотри man для получения
# дополнительой информации).
# ПРИМЕР: Допустим клиент
# имеент сертификат с именем "Thelonious",
# а также имеет за собой небольшую подсеть из
# машин с адресами, например 192.168.40.128/255.255.255.248.
# Сначала раскоментируйте эти строки:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Затем создайте файл ccd/Thelonious со следующей строкой:
# iroute 192.168.40.128 255.255.255.248
# Это разрешить подсети 'Thelonious'
# доступ к VPN. Этот пример будет работать только
# если у вас режим роутера, но не моста, т.е. вы
# используете директивы "dev tun" и "server".
# ПРИМЕР: Допустим вы хотите дать
# Thelonious постоянный VPN IP адрес 10.9.0.1.
# Вначале раскоментируйте следующую строку:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Затем добавьте следующую строку в ccd/Thelonious:
# ifconfig-push 10.9.0.1 10.9.0.2
# Допустим вы хотите сделать различные права доступа
# на файерволе для различных групп клиентов
# Есть два способв:
# (1) Запустит несколько OpenVPN демонов, по одному на
# каждую группу, и настроить файервол на каждом TUN/TAP
# интерфейсе для каждой группы/демона соответственно.
# (2) (Advanced) Создать скрипт для динамической
# модификации файервола при подключении
# различных клиентов. Смотри man для получения
# дополнительной информации по learn-address скрипту.
;learn-address ./script
# Если включена, то эта директива заменит
# всем клиентам их дефолтный шлюз
# на VPN, причем весь IP трафик,
# такой как веб трафик и DNS запросы
# будут направляться через VPN
# (На машине с OpenVPN сервером должен быть настроен NAT
# в интернет с TUN/TAP интерфейса для того чтобы это
# работало правильно).
# ПРЕДОСТЕРЕЖЕНИЕ: У клиента может перестать работать сеть, если
# пакеты на локальный клиентский DHCP сервер
# пойдут через туннель. Решение: убедитесь что
# локальный DHCP сервер клиента доступен через более
# специфичный маршрут, чем маршрут по умолчанию 0.0.0.0/0.0.0.0.
;push "redirect-gateway"
# Определения Windows-специфичных сетевых параметров
# могут быть переданы клиенту, такие как адреса DNS
# или WINS серверов. ПРЕДОСТЕРЕЖЕНИЕ:
# http://openvpn.net/faq.html#dhcpcaveats
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"
# Раскоментируйте эту директиву, чтобы
# клиенты могли "видеть" друг друга в сети.
# По умолчанию, клиенты могут видеть только сервер.
# Чтобы заставить клиента видеть только сервер,
# вы должны внести соответствующие правила
# в файервол сервера, касающиеся TUN/TAP интерфейсов.
;client-to-client
# Раскоментируйте эту директиву для того, чтобы
# многочисленные клиенты могли соединяться с одними и темеже
# сертификатом/ключем или именем. Это рекомендуется включать только
# на период тестирования. Для рабочего использования,
# каждый клиент должен иметь личный пару сертификат/ключ
#
# ЕСЛИ ВЫ НЕ СГЕНЕРИРОВАЛИ ИНДИВИДУАЛЬНУЮ
# ПАРУ СЕРТИФИКАТ/КЛЮЧ ДЛЯ КАЖДОГО КЛИЕНТА,
# РАСКОМЕНТИРУЙТЕ ЭТУ ЛИНИЮ.
;duplicate-cn
# keepalive директива устанавливает
# отправку ping-подобных сообщений
# для того, чтобы каждая сторона знала
# что другая перестала отвечать.
# Пинг каждые 10 секунд, если в течение
# 120 секунд нет ответа, то считается
# что удаленных хост не доступен.
keepalive 10 120
# Для дополнительной безопасности при
# использовании SSL/TLS, создайте "HMAC firewall"
# для защиты от DoS аттак и флуда UDP порта.
#
# Сгенерируйте с помощью:
# openvpn --genkey --secret ta.key
#
# Сервер и каждый клиент должны иметь
# копию этого ключа.
# Второй параметр выставляется в '0'
# для сервера и '1' для клиентов.
;tls-auth ta.key 0 # Этот файт секретный
# Выберите криптографический сертификат.
# Этот пункт конфига должен копироваться
# в конфиг клиента, так же как он установлен здесь.
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
# Включить сжатие на VPN линии.
# Если вы включаете это здесь, вы так же
# должны включить сжатие в конфиге клиента.
comp-lzo
# Максимальное число одновременных
# клиентских подключений.
;max-clients 100
# Это хорошая идея запускать процесс OpenVPN
# от имени непривелигированного пользователя.
#
# Вы можете раскоментировать эти строки
# для не-Windows систем.
;user nobody
;group nobody
# Эти опции позволяют избежать необходимости
# получения доступа к определенным ресурсам
# после рестарта, т.к. это может быть невозможным
# из-за понижения привелегий.
persist-key
persist-tun
# Устанавливает файл состояния, в который ежеминутно
# заносятся текущие подключения и ошибки.
status openvpn-status.log
# По умолчанию, логи направляются в syslog (на
# Window, при работе в качестве службы, в
# "\Program Files\OpenVPN\log" каталог).
# Используйте log или log-append чтобы измененить это.
# "log" перенаправит логи в файл,
# тогда как "log-append" добавит еще и вывод в файл.
# Используйте одну из двух (но не обе) директив.
;log openvpn.log
;log-append openvpn.log
# Установите необходимый уровень логирования.
#
# 0 - ничего, за исключением фатальных ошибок
# 4 - подойдет для получения общих сведений
# 5 и 6 пригодяться для отладки проблем соединения
# 9 - максимально возможная информация
verb 3
# Запрещает повтор сообщений. Не более 20
# идущих друг за другом сообщений одного типа
# будут направлены в лог.
;mute 20
| Ветка форума для обсуждения статьи
размещено: 2007-11-20,
последнее обновление: 2007-11-20,
автор: serge
|
|
|
|
2014-07-27, lissyara
gmirror
Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9
Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту
Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis
Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS
Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT
В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat
Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp
Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration
Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster
HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS
История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire
Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной
Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server
Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs
Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec
Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash
Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
2010-12-05, Fomalhaut
root ZFS, GPT
Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
2010-09-05, Cancer
Настройка аудиоплеера на ximp3
Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
2010-08-31, Cancer
Установка и настройка OpenVPN
На днях появилась задача - объединить головной офис и 3 филиала в одну сеть через интернет посредством OpenVPN, чтобы люди могли подключаться через RDP к базам 1С на серверах.
2010-08-25, manefesto
freebsd lvm
Использование linux_lvm для работы с LVM разделами из-под FreeBSD. Проблемы которые возники при монтирование lvm раздела
2010-04-30, gonzo111
proftpd file auth"a
Proftpd - квоты и авторизация из файлов, без использования базы данных и/или системных пользователей
2010-04-22, lissyara
tw_cli
Пошаговая инструкция по восстановлению RAID на контроллере 3ware, из которого выпал один диск. Настройка мониторинга состояния рейда и отчётов о его состоянии на email.
2010-04-14, fox
MySQL Master+Master
MySQL (Master Master) and (Master Slave) Как настроить репликацию…
2010-03-09, terminus
DNS zones
Краткий ликбез про управление DNS зонами. Примеры проведения делегирования прямых и обратных DNS зон.
2010-03-09, aspera
Squid+AD (group access)
Настройка прокси сервера SQUID с автроризацией пользователей в AD. Разделение пользователей на группы
|
Статистика сайта
|
Сейчас на сайте находится: 11 чел.
|
За последние 30 мин было: 48 человек
|
За сегодня было 12319 показов, 752 уникальных IP
|
|
|
|
Этот информационный блок появился по той простой причине,
что многие считают нормальным, брать чужую информацию не уведомляя автора
(что не так страшно), и не оставляя линк на оригинал и автора — что более существенно.
Я не против распространения информации — только за. Только условие простое — извольте
подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой,
незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
© lissyara 2006-10-24 08:47 MSK
|
|
iphone fax app
|
Комментарии пользователей [3 шт.]