Описание на командите и параметрите на OpenVPN - Интересни статии - Каталог на статиите - OOO - Отдел

Статистика

openvpn

OpenVPN е много гъвкаво, удобно и най-важното бързо и сигурно решение за изграждане на виртуални частни VPN мрежи.
В тази статия ще се опитам да опиша по-подробно основните команди, използвани в OpenVPN.

Командите, дадени в статията без - (две тирета) преди командата трябва да се използват в конфигурационния файл, командите с - в началото се използват само от командния ред. Подробности и опции за използване на команди - man openvpn.

дистанционно - дефинира отдалечения край на тунела. Могат да се използват IP и DNS записи.

разработчик - определя кой тип устройство за настройка или натискане да се използва. Например:
dev tun
или
кран за разработчици
Един от тях ще използва безплатен интерфейс за настройка. Можете също така изрично да посочите номера на виртуалния интерфейс, например tun0.

пристанище - показва на кой порт ще работи OpenVPN (локално и отдалечено).

прото - какъв протокол ще се използва. Възможни стойности: udp, tcp, tcp-client, tcp-server. Всичко е ясно с първите две, но ще се спрем на последните две по-подробно:
tcp-client - сам се опитва да установи връзка
tcp-сървър - само в очакване на връзки
Забележително е, че използвайки udp протокола, VPN ще работи малко по-бързо от tcp. Но по отношение на стабилността на работата е по-добре да изберете tcp (както показва практиката, VPN връзката е по-стабилна)

дистанционно-случайно - ако тази опция е посочена и няколко отдалечени хоста са изброени на случаен принцип, тогава OpenVPN ще се свърже с тях в произволен ред. Използва се за балансиране на товара.

плувка - Позволява на отдалечения хост да променя IP, докато тунелът работи. Връзката не е прекъсната.

ipchange - изпълнява скрипта или командата, посочени в, ако IP се е променил. Пример:
ipchange script-ip.sh

свържете-опитайте отново - се опитва да се свърже отново след посоченото време в секунди, ако връзката е била прекъсната.

свързване-повторен опит-макс - максималният брой опити, ако връзката е прекъсната

Resov-повторен опит - ако OpenVPN не успя да открие името на отдалечения хост от DNS, след определения брой секунди опитайте да се свържете отново.

lport - сочи към локалния порт за използване на OpenVPN

rport - същото за отдалечения порт. Пример:
rport 8000 - OpenVPN ще се опита да се свърже с отдалечен порт 8000

nobind - използвайте динамичен порт за връзка (само клиент)

оформител - показва скоростта на предаване в байтове за изходящ трафик (само клиент)

tun-mtu - задава максималния размер на MTU. По подразбиране tun-mtu е 1500. Употреба:
tun-mtu 1200

dev-възел - задава името на виртуалния интерфейс. Например:
dev-възел openvpn1

ifconfig - задава локален IP и маска на подмрежата за интерфейса на тунела. Например:
ifconfig 10.3.0.1 255.255.255.0

сървър за режим - превключва OpenVPN в сървърния режим (започвайки с версия 2)

режим p2p - тази опция е включена по подразбиране.

Опции на сървърния режим

натиснете - изпращане на конфигурационни параметри до клиента. Пример:
натиснете "маршрут 192.168.0.0 255.255.255.0"

По същия начин, използвайки push, следните параметри могат да бъдат предадени на клиента:

маршрут
маршрут-шлюз
маршрут-забавяне
пренасочване-шлюз
неактивен
ping, ping-exit, ping-restart
persist-key, persist-tun
comp-lzo
dhcp-опция
ip-win32

comp-lzo - параметърът за компресиране на трафика през виртуалния тунел. Може да бъде да, не, адаптивно. Последният се използва по подразбиране.
Например:
comp-lzo да - принудително компресиране
comp-lzo no - изключена компресия на сила
comp-lzo adaptive - адаптивен режим.

Команди и параметри за x509 сертификати и опции за криптиране

шифър - посочете алгоритъма за криптиране. Например:
шифър AES-256-CBC
Препоръчва се режим на верижно блокиране на шифри (CBC).

размер на клавишите - размер на ключа в битове. Например:
128

авт - алгоритъм за хеширане. Пример:
auth SHA1

df - Ключов файл на Diffie-Hellman

ок - файл за сертификат за CA

сертификат - локален машинен сертификат

ключ - локален машинен ключ

tls-сървър - изрично посочва, че дадения хост е tls-сървър

tls-клиент - съответно tls-client

pkcs12 - укажете файла (PKCS12), който съдържа сертификата, ключа и CA в един файл. Пример:
pkcs12/файл