#動作モード設定 daemon # OpenVPN 2.0 がリスニングするローカル IP アドレス(オプション) #local a.b.c.d # OpenVPN 2.0 がリスニングする TCP / UDP port # 同一マシンで複数の OpenVPN インスタンスを動作させるには # それぞれ異なる port を与えること。 # ファイヤーウォールがある場合は、設定した port を許可する必要がある # 複数の port を指定する事は出来ない。 # 複数の port を指定する場合は、 # 複数の OpenVPN インスタンスを動作させる必要がある # OpenVPN 2.0 のデフォルト使用 port は 1194 port 443 # サーバーが使用するプロトコル # TCP / UDP 2つのプロトコルを同時に指定する事は出来ない。 # TCP / UDP 両方とも使用する場合は、 # 2つの OpenVPN インスタンスを動作させる必要がある proto tcp-server #proto udp # Specify that we are a client and that we # will be pulling certain config file directives # from the server. tls-server #マルチクライアントを扱うサーバーの設定 mode server # 使用する TUN/TAP インターフェイスの選択 # "dev tun" はルーティング IP トンネルを作成 # "dev tap" はイーサネットブリッジを作成 dev tap0 #dev tun # Windows 環境において TAP-Win32 アダプタ(NIC)を # 「ネットワーク接続」項目から名前を確認してここで指定する #dev-node OpenVPN-NIC # サーバーが使用するセキュリティ証明書の指定 # C:\Program Files\OpenVPN\config(デフォルトインストール先) # に作成した証明書を置けば、使用する証明書のファイル名の指定だけで良い ca /etc/CA/hosso.com-ca.crt cert /etc/CA/sempron.crt key /etc/CA/sempron.key # このファイルの管理は徹底すること # Diffie hellman パラメータ # Diffie hellman 暗号化を使用する場合に指定する # C:\Program Files\OpenVPN\config(デフォルトインストール先) # に作成した鍵を置けば、使用する鍵のファイル名の指定だけでよい dh /etc/CA/dh1024.pem # サーバーが使用する IP アドレス及び範囲を指定する # サーバーは、指定した IP の *.*.*.1 を使用する # 残りは、サブネットに従いクライアントに付与される(DHCP 機能) # イーサネットブリッジ機能を使用する場合はコメントアウトする # server [IP(ex.192.168.1.0)] [Subnet] #server 192.168.1.0 255.255.255.0 #サーバーが使用する仮想サブネット ifconfig 10.0.0.1 255.255.255.0 #接続クライアントに対するIPアドレスのプール ifconfig-pool 10.0.0.5 10.0.0.254 # サーバーに接続してきたクライアントに # 付与した IP アドレスの対応表を記録するかどうかの設定 # サーバーが再起動した場合に対応表を参照して # 各クライアントに再起動前と同じ IP を割り当てる事が出来る #ifconfig-pool-persist ipp.txt # イーサネットブリッジ機能の設定 # WindowsXP 以降の機能として搭載されている # ブリッジ接続を物理 NIC とTAP-Win32 アダプタ(NIC)で有効にし # ブリッジインターフェイスの IP / Netmask を手動で指定する必要がある # 以下の設定の場合 # server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100 # ブリッジした 物理 NIC の IP:10.8.0.4 # サブネット:255.255.255.0 # OpenVPN サーバーがクライアントに付与できる IP の範囲:10.8.0.50 ~ 10.8.0.100 # # server-bridge [Physical NIC IP] [Subnet] [OpenVPN DHCP IP Start] [OpenVPN DHCP IP end] #server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100 # イーサネットブリッジ有効時にクライアントのデフォルトゲートウェイを # OpenVPN サーバーを経由するようにルーティングテーブルを設定する #push "route 192.168.10.0 255.255.255.0" # 特定のクライアントに特定の IP を付与したいなどの # クライアント毎の設定を行う「ccd」ディレクトリの指定を行う。 # 詳細は、別途解説を参照 #client-config-dir ccd #route 192.168.40.128 255.255.255.248 # クライアントをグループ別にファイヤーウォールの # 接続ポリシーを与えたい場合の指定 # # 1. OpenVPN のサーバーインスタンスを複数個動作させ # 各サーバーに接続するクライアント毎に # ファイヤーウォールの接続ポリシーを設定する # 2. (上級編)異なるクライアントの接続に応じて # 動的にファイヤーウォールを修正するスクリプトを書く # learn-address script の詳細については別途解説を参照 #learn-address ./script # サーバーに接続してきたクライアントの # デフォルトゲートウェイを OpenVPN サーバー経由するようにする # 設定の仕方によりクライアントのネットワーク設定を # 破壊する場合があるので、設定には注意を払う事 #push "redirect-gateway" # Windows 特有のネットワーク設定をクライアントに伝える # 警告: # http://openvpn.net/faq.html#dhcpcaveats #push "dhcp-option DNS 10.8.0.1" push "dhcp-option WINS 10.0.0.1" # サーバーに接続したクライアント同士が見えるようにする設定 client-to-client #クライアントのアドレスは指定しない float # 複数のクライアントが同じ証明書を使用して # サーバーに接続することを許可する設定 # # 警告: # 基本的には各クライアント毎に # ユニークな証明書を作成する #duplicate-cn # クライアントに keepalive メッセージを発信し生存確認を行う設定 # keepalive [Interval(sec)] [Timeout(sec)] # # ex. keepalive 10 120 # 10秒間隔毎に 1回クライアントへ ping を打ち # 120秒待っても応答が無ければクライアントとの接続が切れていると判断する keepalive 10 120 #応答がなくなってからクライアントを削除するまでの時間 inactive 600 # 共通暗号化鍵を使用してする場合は、指定する # 第 2パラメーター指定は # サーバー側は「0」 # クライアント側は「1」を指定する #tls-auth ta.key 0 # このファイルの管理は徹底すること # 暗号化方式選択 #cipher BF-CBC # Blowfish (default) #cipher AES-128-CBC # AES #cipher DES-EDE3-CBC # Triple-DES # VPN リンクに対する圧縮を有効にする comp-lzo # 同時接続クライアント数の設定 #max-clients 100 # 初期化したら権限を落とす(Windows 環境以外の話) user nobody group nobody # 再起動後も状態を覚えておく #persist-key #persist-tun # 接続状況のログを指定する # このファイルは 1分間でローテートされる #status openvpn-status.log # OpenVPN を Windows のサービスとして起動している場合は、 # ログメッセージは、 # C:\Program Files\OpenVPN\log(デフォルトインストール先) # に記録される # 記録されるのログの動作を変更するには、 # log :OpenVPN 起動時に前回のログを消去 # log-append:前回のログから追記 # (デフォルトで起動毎に内容が消去されるのか、追記されるのかは不明) # この設定を両方同時に有効にしてはならない #log openvpn.log #log-append openvpn.log # ログファイルの取得レベルの設定 # # 0:致命的なエラー以外記録しない # 3:デフォルト。一般的用途に事足りる内容の記録 # 4:3 に + してやや詳細なログを記録 # 5 / 6:接続時の問題のデバッグに役立つ # 9:最も詳細なログを採取する verb 3 # ログの重複メッセージの抑制行数 mute 10