windows下利用OpenVPN搭建VPN服务器(3)

#/etc/init.d/openvpn start

接下来配置客户端的配置文件client.conf：

Linux或Unix下使用扩展名为.conf Windows下使用的是.ovpn,并把需要使用的keys复制到配置文件所在目录ca.crt elm.crt elm.key ta.key

-------------Cut Here---------------------

# 申明我们是一个client，配置从server端pull过来，如IP地址，路由信息之类“Server使用push指令push过来的” client

#指定接口的类型，严格和Server端一致 dev tap ;dev tun

# Windows needs the TAP-Win32 adapter name # from the Network Connections panel # if you have more than one. On XP SP2, # you may need to disable the firewall # for the TAP adapter. ;dev-node MyTap

# 使用的协议，与Server严格一致

;proto tcp proto udp

#设置Server的IP地址和端口，如果有多台机器做负载均衡，可以多次出现remote关键字

remote 61.1.1.2 1194 ;remote my-server-2 1194

# 随机选择一个Server连接，否则按照顺序从上到下依次连接 ;remote-random

# 始终重新解析Server的IP地址（如果remote后面跟的是域名），

# 保证Server IP地址是动态的使用DDNS动态更新DNS后，Client在自动重新连接时重新解析Server的IP地址

# 这样无需人为重新启动，即可重新接入VPN

resolv-retry infinite

# 在本机不邦定任何端口监听incoming数据，Client无需此操作，除非一对一的VPN有必要

nobind

# 运行openvpn用户的身份，旧版本在win下需要把这两行注释掉，新版本无需此操作

user nobody

group nobody

#在Client端增加路由，使得所有访问内网的流量都经过VPN出去

#当然也可以在Server的配置文件里头设置，Server配置里头使用的命令是 # push \route 192.168.0.0 255.255.0.0

# 和Server配置上的功能一样如果使用了chroot或者su功能，最好打开下面2个选项，防止重新启动后找不到keys文件，或者nobody用户没有权限启动tun设备 persist-key persist-tun

# 如果你使用HTTP代理连接VPN Server，把Proxy的IP地址和端口写到下面

# 如果代理需要验证，使用http-proxy server port [authfile] [auth-method]

# 其中authfile是一个2行的文本文件，用户名和密码各占一行，auth-method可以省略，详细信息查看Manual

;http-proxy-retry # retry on connection failures ;http-proxy [proxy server] [proxy port #]

# 对于无线设备使用VPN的配置，看看就明白了 # Wireless networks often produce a lot # of duplicate packets. Set this flag # to silence duplicate packet warnings. ;mute-replay-warnings

# Root CA 文件的文件名，用于验证Server CA证书合法性，通过easy-rsa/build-ca生成的ca.crt，和Server配置里的ca.crt是同一个文件

ca ca.crt

# easy-rsa/build-key生成的key pair文件，上面生成key部分中有提到，不同客户使用不同的keys修改以下两行配置并使用他们的keys即可。 cert elm.crt

key elm.key

# Server使用build-key-server脚本什成的，在x509 v3扩展中加入了ns-cert-type选项

# 防止VPN client使用他们的keys ＋ DNS hack欺骗vpn client连接他们假冒的VPN Server # 因为他们的CA里没有这个扩展

ns-cert-type server

# 和Server配置里一致，ta.key也一致，注意最后参数使用的是1 tls-auth ta.key 1

# 压缩选项，和Server严格一致 comp-lzo

# Set log file verbosity. verb 4

--------------Cut Here---------------------

Linux下Client的OpenVPN的安装方法一样，只是配置文件和keys上的不同，只要把client.conf ca.crt elm.crt elm.key ta.key复制到/etc/openvpn目录即可启动VPN。

Win下OpenVPN的安装，WIN下有图形界面的OpenVPN-GUI程序，下载地址http://openvpn.se 下载安装，默认下一步就OK了，安装完事后在托盘上出现一个新的图标，把client.ovpn ca.crt elm.crt elm.key ta.key文件拷贝到C:\\Program Files\\openvpn\\config目录下，然后点右键connect就OK了。

对于LinuxServer使用NAT的一些说明：

首先要把系统的Forward打开，可以通过如下命令实现 echo 1 > /proc/sys/net/ipv4/ip_forward 或者使用

sysctl -w net.ipv4.ip_forward=1

或者修改/etc/sysctl.conf文件，增加 net.ipv4.ip_forward = 1 设定SNAT的规则，使用iptables命令

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j SNAT --to-source 192.168.1.2 OK,OpenVPN Client可以访问内网了。

OpenVPN之以太网桥接 2010-07-07 18:45 OpenVPN之以太网桥接

电脑-openvpn 2007-10-18 10:19:23 阅读401 评论0 字号：大中小 译者：温占考（Email: wzkwenzknet），来源：OpenVPN.net，转载请注明译者和出处及版权信息，并且不能用于商业用途，违者必究。

由于英语水平有限，如有错误，还望指正！

桥接概述

查看FAQ了解路由对比桥接的概述。

以太网桥接实质上是把一个以太网络接口和一个或多个虚拟TAP接口桥接在一个网桥接口上。以太网桥表现为使用软件模拟一个真实的以太网交换机。以太网桥可以理解为一种能够用来连接一个机器上的多个以太网接口（无论是物理的还是虚拟的）使它们共享一个IP子网的软件交换机。

把分布在两个独立网络的一个物理的以太网NIC和一个OpenVPN所使用的TAP接口桥接起来，这样就可以逻辑上合并两个以太网络，就像它们在一个以太网子网内。

配置桥接

这个例子将指导你配置一个OpenVPN服务器端的桥接。多个客户将会连接到这个网桥上，并且每个客户机的TAP接口将会分配到一个服务器端LAN网段的IP地址。

下面是两个实现客户IP地址分配的方法：

让OpenVPN使用server-bridge指示来管理其客户的IP地址池，或者 在LAN内配置DHCP服务器让其为VPN客户分配IP地址。 在这个例子中，我们将使用第一个方法即OpenVPN服务器管理其客户在LAN子网内的IP地址池，和DHCP服务器使用的地址池分开（如果存在的话）。两种方法在FAQ item都有详细描述。

在我们的例子中，我们将使用下面的网桥配置：

设置

网桥启动 参数

取值

以太网络接口 eth

eth0

本地IP地址 ip

192.168.8.4

本地子网掩码

eth_netmask

255.255.255.0

本地广播地址

eth_broadcast

192.168.8.255

VPN客户地址池

192.168.8.128 to 192.168.8.254

虚拟网桥接口 br br0

虚拟TAP接口 tap

tap0