server服務端配置檔案詳解

       https://www.cnblogs.com/EasonJim/p/8449495.html

easy-rsa3.0祕鑰配置

       https://blog.rj-bai.com/post/136.html

密碼證書雙認證

          https://www.jianshu.com/p/e8bea912adcd

openvpn配置檔案可以使用自帶模板修改為適合自己環境的，也可以自己建立個新的配置檔案

# cp /usr/share/doc/openvpn-2.4.3/sample/sample-config-files/server.conf /etc/openvpn/
# vim /etc/openvpn/server.conf
port xxxxx                                    #定義openvpn使用埠
proto udp4                                    #定義openvpn使用協議，也可以使用tcp協議，我在這裡遇到坑改成tcp就報錯（此坑已經知道是哪裡的問題了）。
dev tun                                       #定義openvpn執行模式，openvpn有兩種執行模式一種是tap模式，一種是tun模式。
ca /etc/openvpn/easy-rsa/keys/ca.crt          #openvpn使用的CA證書檔案，CA證書主要用於驗證客戶證書的合法性。
cert /etc/openvpn/easy-rsa/keys/server.crt    #openvpn伺服器端使用的證書檔案
dh /etc/openvpn/easy-rsa/keys/dh2048.pem      #Diffie hellman檔案
server 10.8.0.0 255.255.255.0                 #openvpn在使用tun路由模式時，分配給client端分配的IP地址段
push "route 172.17.48.0 255.255.240.0"        #向客戶端推送的路由資訊，假如客戶端的IP地址為10.8.0.2，要訪問172.17.48.0網段的話，使用這條命令就可以了。
push "redirect-gateway def1 bypass-dhcp"      #這條命令可以重定向客戶端的閘道器，在進行FQ時會使用，開啟此選項客戶端出口ip會成為openvpn伺服器IP
push "dhcp-option DNS 8.8.8.8"                #向客戶端推送的DNS資訊。
push "dhcp-option DNS 114.114.114.114"        #向客戶端推送的DNS資訊。
keepalive 10 120                              #活動連線保時期限
cipher AES-256-CBC                            #
comp-lzo                                      #啟用允許資料壓縮，客戶端配置檔案也需要有這項。
user nobody                                   #openvpn執行時使用的使用者及使用者組。
group nobody                                  #openvpn執行時使用的使用者及使用者組。
persist-key                                   #通過keepalive檢測超時後，重新啟動VPN，不重新讀取keys，保留第一次使用的keys。
persist-tun                                   #通過keepalive檢測超時後，重新啟動VPN，一直保持tun或者tap裝置是linkup的。否則網路連線，會先linkdown然後再linkup。
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpnappend.log
verb 3                                        #設定日誌記錄冗長級別
explicit-exit-notify 1                        #此選項開啟只能使用udp協議。Options error: --explicit-exit-notify can only be used with --proto udp

修改var檔案

# vim /etc/openvpn/easy-rsa/vars
export KEY_COUNTRY="CN"
export KEY_PROVINCE="BJ"
export KEY_CITY="BeiJing"
export KEY_ORG="xxxx"
export KEY_EMAIL="[email protected]"
export KEY_OU="xxxx"
export KEY_NAME="xxxx"

var檔案一些說明

export KEY_DIR="$EASY_RSA/keys"   #定義key的生成目錄
export KEY_SIZE=2048              #定義生成私鑰的大小，一般為1024或2048，預設為2048位。這個就是我們在執行build-dh命令生成dh2048檔案的依據。
export CA_EXPIRE=3650             #ca證書有效期，預設為3650天，即十年
export KEY_EXPIRE=3650            #定義祕鑰的有效期，預設為3650天，即十年
export KEY_COUNTRY="CN"           #定義所在的國家
export KEY_PROVINCE="BJ"          #定義所在的省
export KEY_CITY="BeiJing"         #定義所在的城市
export KEY_ORG="xxxx"             #定義所在的組織
export KEY_EMAIL="
 
[email protected]"    #定義郵箱
export KEY_OU="xxxx"              #定義所在單位
export KEY_NAME="xxxx"            #定義伺服器名稱