OpenVPN-配置注释

## OpenVPN 服务器端配置文件
仅为示例，配置不全
```bash
#################################################
# OpenVPN多客户端服务器配置文件示例               #
#                                               #
# 该文件用于OpenVPN配置的多客户端服务器端         #
#                                               #
# OpenVPN还支持单机 <-> 单机                     #
# 配置（有关更多信息，请参见网站上的示例页面）。   #
#                                               #
# 该配置应适用于Windows或Linux/BSD系统。         #
# 在Windows上，请引用路径名并使用双反斜杠，例如：#
# "C:\\Program Files\\OpenVPN\\config\\foo.key"   #
#                                               #
# 注释以 '#' 或 ';' 开头                            #
#################################################

# OpenVPN应监听的本地IP地址（可选）
;local a.b.c.d

# OpenVPN应监听的TCP/UDP端口
# 如果要在同一台机器上运行多个OpenVPN实例
# 请为每个实例使用不同的端口号
# 您需要在防火墙上打开此端口
port 1194

# 使用TCP还是UDP？
;proto tcp
proto udp

# "dev tun"将创建一个路由的IP隧道，
# "dev tap"将创建一个以太网隧道。
# 如果要控制VPN上的访问策略
# 必须为TUN/TAP接口创建防火墙规则。
# 在非Windows系统上，您可以给出
# 显式的单元号，例如tun0。
# 在Windows上，请使用"dev-node"。
# 在大多数系统上，除非部分或全部禁用
# TUN/TAP接口的防火墙，否则VPN将无法正常工作。
;dev tap
dev tun

# Windows需要TAP-Win32适配器的名称如果您有多个，请从网络连接面板中获取在XP SP2或更高版本上，您可能需要选择性地禁用TAP适配器的Windows防火墙。
# 通常，非Windows系统不需要这个。
;dev-node MyTap

# SSL/TLS根证书（ca），证书
# （cert），和私钥（key）。每个客户端
# 和服务器都必须有自己的证书和
# 密钥文件。服务器和所有客户端将
# 使用相同的ca文件。
#
# 有关生成RSA证书和私钥的脚本，
# 请参见"easy-rsa"目录。
# 记得使用一个唯一的Common Name（通用名称）
# 为服务器和每个客户端。
#
# 任何X509密钥管理系统都可以使用。
# OpenVPN还可以使用PKCS＃12格式的密钥文件
# （请参见man页面中的"pkcs12"指令）。
ca ca.crt
cert server.crt
key server.key  # 此文件应保密

# Diffie-Hellman参数。
# 使用以下命令生成：
#   openssl dhparam -out dh2048.pem 2048
dh dh2048.pem

# 网络拓扑
# 应该是子网（通过IP寻址）
# 除非必须支持Windows客户端v2.0.9及以下版本
# （然后是net30，即每个客户端/30）
# 默认为net30（不建议）
;topology subnet

# 配置服务器模式并提供VPN子网供OpenVPN为客户端分配地址。
# 服务器将为自己使用10.8.0.1，其余地址将提供给客户端。
# 每个客户端都将能够在10.8.0.1上访问服务器。
# 如果进行以太网桥接，请注释此行。有关更多信息，请参见man页面。
server 10.8.0.0 255.255.255.0

# 在此文件中维护客户端<->虚拟IP地址的记录。
# 如果OpenVPN关闭或重新启动，重新连接的客户端
# 可以分配以前分配的池中的相同虚拟IP地址。
ifconfig-pool-persist ipp.txt

# 为以太网桥接配置服务器模式。
# 您必须首先使用操作系统的桥接功能将TAP接口与以太网NIC接口桥接。
# 然后，必须手动设置桥接接口上的IP/子网掩码，在这里我们假设为10.8.0.4/255.255.255.0。
# 最后，我们必须在此子网中设置一个IP范围（开始=10.8.0.50结束=10.8.0.100）以分配给连接的客户端。除非进行以太网桥接，否则请将此行注释。
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# 为以太网桥接配置服务器模式
# 使用DHCP代理，其中客户端与OpenVPN服务器端的DHCP服务器通信以接收其IP地址分配和DNS服务器地址。
# 您必须首先使用操作系统的桥接功能将TAP接口与以太网NIC接口桥接。
# 注意：此模式仅适用于客户端（例如Windows），其中客户端侧的TAP适配器绑定到DHCP客户端。
;server-bridge

# 推送路由到客户端，以允许它们
# 访问服务器后面的其他私有子网。
# 请记住，这些
# 私有子网还需要知道如何将OpenVPN客户端
# 地址池（10.8.0.0/255.255.255.0）的路由
# 返回到OpenVPN服务器。
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

# 为特定客户端分配特定IP地址
# 或如果连接的客户端后面有一个私有子网
# 也应该具有VPN访问权限，
# 请使用子目录"ccd"用于客户端特定的
# 配置文件（有关更多信息，请参见man页面）。

# 例如：假设客户端
# 具有证书通用名称"Thelonious"
# 还有一台小型子网，例如192.168.40.128/255.255.255.248。
# 首先，取消注释以下这些行：
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# 然后创建一个名为ccd/Thelonious的文件，其中包含这一行：
#   iroute 192.168.40.128 255.255.255.248
# 这将允许Thelonious的私有子网
# 访问VPN。此示例仅在进行路由而非桥接时起作用，
# 即您正在使用"dev tun"和"server"指令。

# 例如：假设您要给
# Thelonious分配固定的VPN IP地址10.9.0.1。
# 首先取消注释以下这些行：
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# 然后将此行添加到ccd/Thelonious中：
#   ifconfig-push 10.9.0.1 10.9.0.2

# 假设您要为不同的
# 客户端启用不同的防火墙访问策略。
# 有两种方法：
# (1)为每个
#     组运行多个OpenVPN守护程序，并为每个
#     组/守护程序适当地为TUN/TAP接口设置防火墙规则。
# (2)（高级）创建一个脚本以动态地
#     修改防火墙以响应来自不同客户端的访问。
#     有关"learn-address"脚本的更多信息，请参见man页面。
;learn-address ./script

# 如果启用，此指令将配置所有客户端以重定向其默认网络网关通过VPN，导致
# 通过VPN的所有IP流量，例如Web浏览和和DNS查询（OpenVPN服务器机器可能需要NAT或将TUN/TAP接口桥接到Internet为其正常工作）。
;push "redirect-gateway def1 bypass-dhcp"

# 可以将特定于Windows的某些网络设置推送到客户端，例如DNS或WINS服务器地址。
# 注意：http://openvpn.net/faq.html#dhcpcaveats
# 下面的地址是由opendns.com提供的公共DNS服务器的地址。
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

# 如果启用，取消注释此指令将允许不同的客户端能够"看到"彼此。
# 默认情况下，客户端只能看到服务器。
# 要强制客户端只能看到服务器，您还需要适当地防火墙服务器的TUN/TAP接口。
;client-to-client

# 如果可能，取消注释此指令可以连接相同的证书/密钥文件或常见名称的多个客户端
# 仅用于测试目的。对于生产使用，每个客户端都应有其自己的证书/密钥对。
#
# 如果您尚未生成个体
# 证书/密钥对，
# 具有其自己独特的"COMMON NAME"，
# 请取消注释此行。
;duplicate-cn

# keepalive指令导致类似ping的消息
# 在链接上传递，以便双方都知道另一方何时掉线。
# 每10秒ping一次，在120秒的时间内未收到ping时，假设远程对等方已掉线。
keepalive 10 120

# 为了比SSL/TLS提供更多的安全性，
# 创建一个"HMAC防火墙"
# 以帮助阻止DoS攻击和UDP端口洪水。
#
# 使用以下命令生成：
#   openvpn --genkey tls-auth ta.key
#
# 服务器和每个客户端必须有此密钥的副本。
# 第二个参数在服务器上应为“0”，在客户端上应为“1”。
tls-auth ta.key 0 # 此文件是机密的

# 选择加密密码。
# 此配置项必须复制到
# 客户端配置文件中。
# 请注意，v2.4客户端/服务器将自动
# 在TLS模式下协商AES-256-GCM。

# 启用 VPN 连接的压缩，并将选项推送给客户端（仅适用于 v2.4+，对于早期版本，请参见下文）
;compress lz4-v2
;push "compress lz4-v2"

# 对于与旧版本客户端兼容的压缩，请使用 comp-lzo
# 如果在此启用它，则还必须在客户端配置文件中启用它。
;comp-lzo

# 我们希望允许的最大并发连接客户端数。
;max-clients 100

# 在初始化后，降低 OpenVPN 守护程序的特权是个好主意。
#
# 在创建专用用户后，您可以取消注释此选项，适用于非 Windows 系统。
;user openvpn
;group openvpn

# 持久化选项将尝试在重新启动时避免访问由于特权降级可能不再可访问的某些资源。
persist-key
persist-tun

# 输出一个显示当前连接的短状态文件，每分钟截断并重新编写一次。
status openvpn-status.log

# 默认情况下，日志消息将发送到 syslog（或在 Windows 上，如果作为服务运行，则将发送到 "\Program Files\OpenVPN\log" 目录）。
# 使用 log 或 log-append 可以覆盖此默认设置。
# "log" 将在 OpenVPN 启动时截断日志文件，而 "log-append" 将在其后追加。选择其中一个（但不是两者）。
;log         openvpn.log
;log-append  openvpn.log

# 设置日志文件详细程度。
#
# 0 是静默，除了致命错误之外
# 4 对于一般用途是合理的
# 5 和 6 可以帮助调试连接问题
# 9 是极度详细的
verb 3

# 静音重复的消息。每个消息类别最多输出 20 个连续消息。
;mute 20

# 通知客户端当服务器重新启动时，以便它可以自动重新连接。
explicit-exit-notify 1
```

## OpenVPN 客户端配置文件
仅为示例，配置不全
```bash
##############################################
# OpenVPN 2.0 客户端配置文件示例 #
# 用于连接到多客户端服务器。     #
#                                            #
# 此配置可供多个客户端使用，但是每个客户端应该有   #
# 其自己的证书和密钥文件。                #
#                                            #
# 在 Windows 上，您可能希望将此文件重命名为  #
# 具有 .ovpn 扩展名的文件                  #
##############################################

# 指定我们是客户端，并且我们将从服务器中提取
# 特定的配置文件指令。
client

# 使用与服务器上相同的设置。
# 在大多数系统上，除非部分或完全禁用
# TUN/TAP 接口的防火墙，否则 VPN 将无法正常运行。
;dev tap
dev tun

# 如果有多个，请从网络连接面板中选择
# 与 Windows 需要 TAP-Win32 适配器名称
# 对应的 TAP 适配器。在 XP SP2 上，
# 您可能需要禁用 TAP 适配器的防火墙。
;dev-node MyTap

# 我们是连接到 TCP 还是
# UDP 服务器？使用与
# 服务器上相同的设置。
;proto tcp
proto udp

# 服务器的主机名/IP 和端口。
# 您可以有多个 remote 条目
# 在服务器之间进行负载均衡。
remote my-server-1 1194
;remote my-server-2 1194

# 从远程列表中选择一个随机主机
# 以实现负载均衡。否则
# 按指定的顺序尝试主机。
;remote-random

# 无限次尝试解析 OpenVPN 服务器的主机名。
# 在不经常连接到互联网的机器上非常有用，例如便携式计算机。
resolv-retry infinite

# 大多数客户端不需要绑定到特定的本地端口号。
nobind

# 初始化后，降低特权（仅适用于非 Windows）
;user openvpn
;group openvpn

# 尝试在重新启动时保留一些状态。
persist-key
persist-tun

# 如果通过 HTTP 代理连接到实际的 OpenVPN
# 服务器，将代理服务器/IP 和
# 端口号放在这里。如果您的代理服务器需要
# 身份验证，请参阅 man 页。
;http-proxy-retry # 连接失败时重试
;http-proxy [代理服务器] [代理端口 #]

# 无线网络通常会产生大量
# 重复的数据包。设置此标志
# 以消除重复的数据包警告。
;mute-replay-warnings

# SSL/TLS 参数。
# 有关更多说明，请参阅服务器配置文件。
# 最好为每个客户端使用
# 单独的 .crt/.key 文件对。
ca ca.crt
cert client.crt
key client.key

# 通过检查服务器证书来验证服务器证书
# 证书是否具有正确的密钥用途。
# 这是一种重要的预防措施，以防止
# 一种可能的攻击，这里进行了讨论：
#  http://openvpn.net/howto.html#mitm
#
# 要使用此功能，您将需要生成具有 keyUsage 设置为 digitalSignature,
# keyEncipherment 和 extendedKeyUsage 设置为serverAuth
# EasyRSA 可以为您执行此操作。
remote-cert-tls server

# 如果服务器上使用了 tls-auth 密钥
# 那么每个客户端也必须有该密钥。
tls-auth ta.key 1

# 选择加密密码。
# 如果在服务器上使用了密码
# 那么您也必须在这里指定它。
# 请注意，v2.4 客户端/服务器将在 TLS 模式下自动协商
# AES-256-GCM。在 manpage 中还可以看到 data-ciphers 选项。
cipher AES-256-CBC

# 在 VPN 连接上启用压缩。
# 除非在服务器配置文件中也启用
# 否则不要启用此功能。
#comp-lzo

# 设置日志文件详细程度。
verb 3

# 静音重复的消息
;mute 20
```

## Easy-RSA 配置参数
```
# Easy-RSA 3 参数设置

# 注意: 如果你是通过 Linux 发行版的软件包管理器安装的 Easy-RSA，请不要直接编辑
# 此文件。相反，你应该将整个 easy-rsa 目录复制到其他位置，以防未来的升级覆盖
# 你的更改。

# 如何使用此文件
#
# vars.example 包含 Easy-RSA 设置的内置示例。如果你想要使用此文件作为配置文件，
# 你必须将其命名为 'vars'。如果你不这样做，当你调用 easyrsa 命令时它将不会被自动读取。
#
# 除非你希望更改操作默认值，否则无需使用此配置文件。对于许多用途，这些默认值应该是
# 可以的，而不需要复制和编辑 'vars' 文件。

# NOTES FOR WINDOWS USERS
#
# Windows 用户的路径 *必须* 使用正斜杠，或者选择使用双斜杠进行转义
# （推荐使用单正斜杠）。这意味着你的路径到 openssl 二进制文件可能如下所示：
# "C:/Program Files/OpenSSL-Win32/bin/openssl.exe"

# 一点清理工作: 不要编辑这部分
#
# Easy-RSA 3.x 不会直接加载到环境中。如果用户尝试这样做，将会提示错误：
if [ -z "$EASYRSA_CALLER" ]; then
    echo "你似乎正在加载 Easy-RSA 'vars' 文件。" >&2
    echo "这不再是必要的，也是被禁止的。请查看顶部注释附近的'如何使用此文件'部分以获取更多详细信息。" >&2
    return 1
fi

# 在此点以下进行编辑

# 此变量用作 easyrsa 需要的配置文件的基本位置。
# 更具体的变量，例如 EASYRSA_SSL_CONF，可能会覆盖此默认值。
#
# 此变量的默认值是 easyrsa 脚本本身的位置，这也是 easy-rsa 树中的配置文件的位置。
#
#set_var EASYRSA "${0%/*}"

# 如果 OpenSSL 命令不在系统 PATH 中，你将需要在此定义其路径。
# 通常，这意味着可执行文件的完整路径，否则你可以在这里将其留空，将使用显示的默认值。
#
# Windows 用户请记住使用正斜杠的路径（或转义的反斜杠）。如果不在系统 PATH 中，
# Windows 用户应在这里声明到 openssl 二进制文件的完整路径。
#
#set_var EASYRSA_OPENSSL "openssl"
#
# 下面是 Windows 语法的示例--如果不使用 PATH，请根据实际路径进行编辑：
#set_var EASYRSA_OPENSSL "C:/Program Files/OpenSSL-Win32/bin/openssl.exe"

# 编辑此变量以指定即将创建的密钥目录的位置。
# 默认情况下，这将是 "$PWD/pki"（即当前目录的 "pki" 子目录）。
#
# 警告：init-pki 将对此目录执行 rm -rf 操作，因此确保正确定义它！（交互模式将在操作之前进行提示。）
#
#set_var EASYRSA_PKI "$PWD/pki"

# 定义临时子目录的目录。
#
#set_var EASYRSA_TEMP_DIR "$EASYRSA_PKI"

# 定义 X509 DN 模式。
# 用于调整包含在 DN（即“Distinguished Name”）中的元素。
# 请注意，在 'cn_only' 模式下，下面的组织字段不会被使用。
#
# 选择是:
#   cn_only  - 仅使用 CN 值
#   org - 使用 "传统" 的 Country/Province/City/Org/OU/email/CN 格式
#
#set_var EASYRSA_DN "cn_only"

# 组织字段（与 'org' 模式一起使用，在 'cn_only' 模式下被忽略。）
# 这些是将放置在证书中的字段的默认值。不要留下这些字段中的任何一个为空，尽管在交互
# 模式下，可以通过键入 "." 符号（对于 email 字段无效）省略任何特定字段。
#
#set_var EASYRSA_REQ_COUNTRY "US"
#set_var EASYRSA_REQ_PROVINCE "California"
#set_var EASYRSA_REQ_CITY "San Francisco"
#set_var EASYRSA_REQ_ORG "Copyleft Certificate Co"
#set_var EASYRSA_REQ_EMAIL "me@example.net"
#set_var EASYRSA_REQ_OU "My Organizational Unit"

# 为密钥对选择位数。推荐值是 2048。对于未来的许多年来说，使用 2048 位密钥被认为是足够的。
# 较大的密钥尺寸将减慢 TLS 协商，并使密钥/DH 参数生成花费更多时间。
# 大多数软件应该接受最多 4096 的值。仅在加密算法为 rsa 时使用。
#
#set_var EASYRSA_KEY_SIZE 2048

# 默认的加密模式是 rsa；ec 可以启用椭圆曲线支持。
# 请注意，并非所有软件都支持 ECC，因此在启用时请小心。
# 加密算法的选择是:（每个小写）
#  * rsa
#  * ec
#  * ed
#
#set_var EASYRSA_ALGO rsa

# 定义命名曲线，用于 ec 和 ed 模式：
#
#set_var EASYRSA_CURVE secp384r1

# 根 CA 密钥在多少天后过期？
#
#set_var EASYRSA_CA_EXPIRE 3650

# 证书过期时间是多少天？
#
#set_var EASYRSA_CERT_EXPIRE 825

# 下一个 CRL 发布日期在多少天后？请注意，CRL 在此时间段过去后仍然可以解析。
# 仅用于预期的下一个发布日期。
#set_var EASYRSA_CRL_DAYS 180

# 在证书到期前多少天允许续签？
#set_var EASYRSA_CERT_RENEW 30

# 默认情况下为随机序列号，设置为 no 以使用旧的增量式序列号
#
#set_var EASYRSA_RAND_SN "yes"

# 是否支持已弃用的 "Netscape" 扩展？（选项为 "yes" 或 "no"）默认为 "no"，
# 以阻止使用已弃用的扩展。如果你需要此功能与 --ns-cert-type 一起使用，请在
# 这里将其设置为 "yes"。此支持应该替换为更现代的 --remote-cert-tls 功能。
# 如果在配置中不使用 --ns-cert-type，可以安全（且建议）将其定义为 "no"。
# 当设置为 "yes" 时，服务器签名的证书将获得 nsCertType=server 属性，并且还会在
# nsComment 字段中获得下面定义的任何 NS_COMMENT。
#
#set_var EASYRSA_NS_SUPPORT "no"

# 当 NS_SUPPORT 设置为 "yes" 时，此字段将添加为 nsComment 字段。
# 将此字段留空以省略它。在 NS_SUPPORT 设置为 "no" 时，此字段将被忽略。
#
#set_var EASYRSA_NS_COMMENT "Easy-RSA Generated Certificate"

# 在签名期间用于暂存证书扩展的临时文件。对于大多数用户，默认值应该是可以的；
# 但是，一些用户可能希望在 RAM 基础的 FS 中使用备用的目录，例如 /dev/shm 或某些系统上的 /tmp。
#
#set_var EASYRSA_TEMP_FILE "$EASYRSA_PKI/extensions.temp"

# !!
# 注意: 此点以下为高级选项
# 在这里操作，风险自负
# !!

# 损坏的 shell 命令别名：如果你的 shell 大部分被破坏，缺少
# Easy-RSA 使用的任何这些 POSIX 所需的命令，你将需要为命令定义一个别名
# 以正确的路径。症状将是从你的 shell 中收到的 'command not found' 错误。
# 这意味着你的 shell 是有问题的，但是如果你真的需要，你可以在这里绕过它。
# 这些显示的值不是默认值：如果你触摸这些值，就要知道你在做什么。
#
#alias awk="/alt/bin/awk"
#alias cat="/alt/bin/cat"

# X509 扩展目录：
# 如果你想要自定义所使用的 X509 扩展，请在此设置目录。
# 每个你签名的证书类型必须有匹配的文件名，当存在时，第一个
# 名为 'COMMON' 的文件将首先包含在内。请注意，如果在此未定义，
# 默认行为是首先查看 $EASYRSA_PKI，然后回退到 $EASYRSA 的 'x509-types' 目录。
# 你可以在此处覆盖此检测，用一个明确的目录。
#
#set_var EASYRSA_EXT_DIR "$EASYRSA/x509-types"

# 如果你想要生成 KDC 证书，你需要在此处设置领域。
#set_var EASYRSA_KDC_REALM "CHANGEME.EXAMPLE.COM"

# OpenSSL 配置文件：
# 如果你需要使用特定的 openssl 配置文件，你可以在这里引用它。
# 通常情况下，此文件将从名为 openssl-easyrsa.cnf 的文件中自动检测
# （以 EASYRSA_PKI 或 EASYRSA 为目录，以此顺序）。
# 请注意，此文件是 Easy-RSA 特定的，你不能只使用标准的配置文件，
# 因此这是一个高级功能。
#
#set_var EASYRSA_SSL_CONF "$EASYRSA/openssl-easyrsa.cnf"

# 默认 CN：
# 最好不要改动这个。交互式地，你将手动设置它，而 BATCH
# 调用者预期自己设置这个值。
#
#set_var EASYRSA_REQ_CN "ChangeMe"

# 使用的加密摘要。
# 除非你理解安全性方面的影响，否则不要更改此默认值。
# 有效选择包括: md5, sha1, sha256, sha224, sha384, sha512
#
#set_var EASYRSA_DIGEST "sha256"

# 批处理模式。禁用此功能，除非您打算显式调用 Easy-RSA，否则请将其禁用
# 在批处理模式下，无需任何用户输入，确认危险操作，
# 或大多数输出。将此设置为任何非空字符串将启用批处理模式。
#
#set_var EASYRSA_BATCH ""
```