### ### OpenVPN Bridge config file for UN*X server ### # # ・先頭の # もしくはセミコロンはコメント行 # # デーモンモードで起動する daemon # TLSサーバーの宣言 tls-server # 待ち受けポートを指定する # user/group オプションを使用する場合は、一般ユーザーは Well-Known ポートを使用 # できないので High ポートを使用すること。 port 8081 # VPNサーバはTCPで待ち受けをする proto tcp # デバイスに tap を使用する (ブリッジモード) dev tap # クライアントが互いに"見える"ようにする。 client-to-client # 共有暗号鍵の場所を指定する ca /usr/local/openvpn/keys/ca.crt cert /usr/local/openvpn/keys/server.crt key /usr/local/openvpn/keys/server.key dh /usr/local/openvpn/keys/dh1024.pem # イーサネットブリッジのサーバモードを設定する。 # server-bridge [DEFAULT_ROUTE] [NETMASK] [OVPN-DHCP_START] [OVPN-DHCP_END] # DEFAULT_ROUTE # ブリッジが存在するネットワークのデフォルトルートを記述する。 # NETMASK # ブリッジが存在するネットワークのサブネットマスクを記述する。 # OVPN-DHCP_START # 接続してきたクライアントに割り当てる動的 IP の開始 IP アドレスを記述する。 # OVPN-DHCP_END # 接続してきたクライアントに割り当てる動的 IP の終了 IP アドレスを記述する。 # # server-bridge は OpenVPN が提供する独自 DHCP のようなものと考えると良い。 # server-bridge の情報はクライアント側で float オプションにより取得される。 # ただし、DEFAULT_GATEWAY に関しては redirect-gateway def1 を記述しない限り # 有効にはならない。 # server-bridge 192.168.1.253 255.255.255.0 192.168.1.100 192.168.1.109 ### 各種設定をクライアントに送信する設定 # OpenVPN DHCP による server-bridge 以外の情報を記述する。 # push で指定された情報はクライアント側で pull オプションを指定することにより有 # 効となる。 ;push "route 192.168.1.0 255.255.255.0" push "dhcp-option DNS 192.168.1.10" push "dhcp-option WINS 192.168.1.10" # OpenVPN セッション以外の全てのパケットを OpenVPN 経由にする。 # このオプションを指定するとデフォルトゲートウェイは server-bridge で指定された # デフォルトゲートウェイになるが、OpenVPN がサーバーと通信するルーティングは # 別に確保されるように自動設定される。 # クライアント側で指定することも可能だが、OpenVPN 経由の通信をデフォルトで # 行わせるようにするのであればサーバー側で push した方が楽。 push "redirect-gateway def1" # セッションチェック。 # A秒ごとに疎通確認を行い、B秒応答が無ければ切断したと見なす。 # keepalive A B keepalive 30 120 ### OpenVPN 起動後の権限降格 # セキュリティ確保のため、OpenVPN 起動後に権限を指定したユーザー/グループに降格 # する。 # ただし、root 以下に降格すると down オプションで指定したスクリプトを実行できな # い場合があるので、その場合は down オプションで実行するスクリプトを別で動かす # (openvpn を実行するスクリプトを用意し、その中で実行する) か、権限降格そのもの # をやめるしかない。 # # OpenVPN デーモン起動後の実行ユーザー ;user nobody # OpenVPN デーモン起動後の実行グループ ;group nobody ### persist-* # user/group オプションを使用した際、root 権限で動作している時に * で指定され # たデバイスやファイルなどを読み込んだりする。 # これは、OpenVPN の権限を一般ユーザー権限に降格した際、root 権限でのみ読み込 # み可能なデバイスなどを読み込めないので、persist-* を指定することで降格する前 # にそれらを読み込むようにする。 # user/group で一般ユーザーを使用する場合は必須の設定だが、Windows では恐らく # 無効。 # # tun/tap デバイス用 (tun/tap デバイスは root のみアクセス可) persist-tun # 鍵ファイル用 (通常、鍵ファイルは root のみアクセス可にしておくべき) persist-key # OpenVPN 起動時に実行するスクリプト。 # 主にブリッジデバイス (tap) の設定を行うスクリプトを指定する。 up /usr/local/openvpn/sbin/bridge-up # OpenVPN 終了時に実行するスクリプト。 # 主にブリッジデバイス (tap) の設定を削除するスクリプトを指定する。 down /usr/local/openvpn/sbin/bridge-down # ログレベル。 # サーバーのログは上書きではなく追記となる。 verb 3 # OpenVPN Management Interface を使用する。 # % telnet localhost 7505 management localhost 7505 # 通信を圧縮する。 # サーバーとクライアント両方で指定すること。 ;comp-lzo