Openvpn服务端配置文件参数说明（server.conf）

在#openvpn服务端的监听地址
local 0.0.0.0
#openvpn服务端的监听端口（默认1194）
port 1115
#使用的协议，tcp/udp
proto tcp
#使用三层路由ip隧道（tun），还是二层以太网隧道（tap），一般使用tun
dev tun
#ca证书、服务端证书、服务端秘钥和秘钥交换文件
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem
#vpn服务端为自己和客户端分配的ip地址池。
#服务端自己获取网段的第一个地址（此处是10.8.0.1），后为客户端分配其他的可用地址。以后客户端就可以和10.8.0.1进行通信。
注意：以下网段地址不要和已有网段冲突或重复
server 10.8.0.0  255.255.255.0
#使用一个文件记录已分配虚拟ip的客户端和虚拟ip的对应关系。以后openvpn重启时，将可以按照此文件继续为对应的客户端分配此前相同的ip（自动续借ip）
ifconfig-pool-persist ipp.txt
#使用tap模式的时候考虑此选项
server-bridge XXXXXX
#vpn服务端向客户端推送vpn服务端内网网段的路由配置，以便让客户端能够找到服务端的内网。多条路由写多个push指令
push "route 10.0.10.0  255.255.255.0"
Push "route 192.168.10.0 255.255.255.0"
#让vpn客户端之间可以通信。默认情况客户端只能服务端进行通信
#默认此项是注释的，客户端之间不能相互通信
client-to-client
#允许多个客户端使用同一个vpn账号连接服务端
#默认是注释的，不支持多个客户端登录一个账号
duplicate-cn
#每10秒ping一次，120秒后没收到ping就说明对方挂了
keepalive 10 120
#加强认证方式，防攻击。如果配置文件中启用此项（默认是启用的），需要执行openvpn --genkey --secret ta.key，并把ta.key放到/etc/openvpn/server/目录，服务端第二个参数为0；同时客户端也要有此文件，且client.conf中此指令的第二个参数需要为1
tls-auth /etc/openvpn/server/ta.key 0
#选择一个密码。如果在服务器上使用了cipher选项，那么也必须在这里指定它。注意，v2.4客户端/服务端将在tls模式下自动协商AES-256-GCM
cipher AES-256-CBC
#openvpn 2.4版本的vpn才能设置此选项。表示服务端启用lz4的压缩功能 ，传输数据给客户端时会压缩数据包。
Push后在客户端也配置启用lz4的压缩功能，向服务端发数据时也会压缩。如果是2.4版本以下的老版本，则使用用comp-lzo指令
compress lz4-v2
push "compress lz4-v2"
#启用lzo数据压缩格式，此指令用于低于2.4版本的老版本，且如果服务端配置了该指令，客户端也必须要配置
comp-lzo
#并发客户端的连接数
max-clients 1000
#通过ping得知超时时，当重启vpn后将使用同一个秘钥文件以及保持tun连接状态
persist-key
persist-tun
#在文件中输出当前的连接信息，每分钟截断并重写一次该文件
status openvpn-status.log
#log指令表示每次启动vpn时覆盖式记录到指定日志文件中
#log-append则表示每次启动vpn时追加式的记录到指定日志中
#但两者只能选其一，或者不选时记录到rsyslog中
log  /var/log/openvpn.log
log-append  /var/log/openvpn.log
#日志记录的详细级别
verb 3
#当服务器重新启动时，通知客户端，以便它可以自动重新连接。仅在UDP协议是可用
explicit-exit-notify 1
#沉默的重复信息。最多20条相同消息类别的连续消息将输出到日志
mute 20
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60