VPN 安全启动光盘 HOWTO

Jeffery Douglas Waddell jefferydouglaswaddell (at) gmail (dot) com

1. 简介

• 1.1 版权
• 1.2 免责声明
• 1.3 新闻
• 1.4 鸣谢
• 1.5 翻译

2. 理论

3. 技术

4. 实施

• 4.1 获取和修改基于 DSL 的 .ISO 文件。
• 4.2 关于修改光盘上软件的评论。
• 4.3 设置多用户 OpenVPN 服务器。
• 4.4 参考资料：

5. 维护

6. 高级问题

7. 特性

8. 故障排除

9. 更多信息

10. 获取帮助

11. 结束语

12. 问题与解答

13. 零散信息

• 13.1 制作 Windows 自动运行光盘。

14. 示例

1. 简介

多年以来，我目前兼职工作的机构的用户都表达了对内部网络的稳健和安全连接的需求。 内部网络实际上有一些客户端位于私有网络上，还有一些客户端是互联网可路由的。

作为一个主要使用 Microsoft 产品的机构，可用的选项因各种原因被认为不合适，通常是出于安全考虑。 几个月前，在了解了这个问题并听取了围绕它的担忧之后，我建议使用启动光盘，这将减轻他们所有的安全担忧。 他们批准我尝试一下。 我现在有一个可工作的原型，本文档描述了用于创建它的过程。

1.1 版权

版权 © 2006-11-13 Jeffery Douglas Waddell 所有。 您可以自由地

• 复制、分发、展示和执行作品
• 创作衍生作品
• 将作品用于商业用途

• 对于任何重用或分发，您必须向他人明确说明本作品的许可条款。
• 如果您获得作者的许可，可以放弃任何这些条件。

1.2 免责声明

使用本文档中的信息风险自负。 我不承担本文档内容可能造成的任何责任。 使用本文档的概念、示例和/或其他内容完全由您自行承担风险。

所有版权均归其所有者所有，除非另有明确说明。 本文档中术语的使用不应被视为影响任何商标或服务标记的有效性。

特定产品或品牌的命名不应被视为认可。

强烈建议您在进行重大安装之前备份系统，并定期备份。

1.3 新闻

• V0.06 2007-02-09（预发布版）
• V0.05 2007-02-05（预发布版）
• V0.04 2007-02-05（预发布版）
• V0.03 2006-12-12（预发布版）
• V0.02 2006.12.11 初稿（预发布版）
• V0.01 2006.11.13 网络生成 sgml 格式（预发布版）

1.4 鸣谢

我使用了许多资源来完成我所做的事情。 非常感谢所有为这些项目做出贡献的人。 它们包括但不限于

• https://linuxjournal.cn/article/7246
• http://www.openvpn.net/howto.html
• http://www.damnsmalllinux.org
• http://www.ubuntu.com

1.5 翻译

目前没有翻译版本。 如果您想翻译本文档，请通过 jefferydouglaswaddell (at) gmail (dot) com 联系我。

2. 理论

首先，我将尝试更透彻地阐述问题，并给出原型背后的理论。

对于该机构，有一组机器位于非常强大的防火墙之后。 这个防火墙只允许非常少的东西通过。 至于连接到互联网，许多东西，包括访问 HTTP、FTP、安全 Shell 等，都是允许的。 至于连接到内部网络，这些都不允许。

您可以将防火墙想象成位于我们内部网络边缘的一组机器。 我们的内部网络内有大量不安全的流量，其中既有私有网络，也有互联网寻址的客户端。 要被允许执行任何需要从互联网连接到网络内部的操作，允许连接的服务器必须位于网络的外围（即防火墙的一部分）。

人们一直希望能够充分访问内部网络，以便在家工作（与在办公室工作相当），但又不会打开防火墙，以至于我们的不安全流量暴露于互联网。 内部网络内也有敏感的内部数据可以访问，这些数据既不应复制到家用机器（笔记本电脑等），也不应在家用机器上打印。

因此，问题变成了：如何允许足够的访问权限，让某些人能够在家中完成工作，同时仍然保护敏感信息和整个网络？ 其他出现的安全考虑因素包括

• 包含敏感信息的笔记本电脑可能被盗。
• 家用机器可能以违反策略的方式使用，但由于其实际位于场外，因此无法追踪或有效执行。

我脑海中出现的答案是给用户一张启动光盘，他们可以将其放入机器中（无论是在乔叔叔家、自己家，还是机场的网吧），并用它启动到他们的内部工作桌面。 其理论是，连接到网络外围的服务器，然后让他们访问他们的桌面，至少与他们从内部桌面访问网络一样安全，并且可以对何时以及如何授予访问权限进行大量控制。 作为启动光盘，不需要任何现场操作系统配置，也不需要采取额外的预防措施来防范恶意软件、间谍软件或病毒。 在下一节“技术”中，我将研究一些可以实现此目标的方法，在“实施”部分中，我将解释我们实际是如何做的。

3. 技术

由于许多人已经熟悉 openVPN，这似乎是一个好主意。 然而，就其本身而言，openVPN 并不足够。 人们能够工作的最方便的方式是他们能够直接连接到他们已有的桌面。 这里的所有用户都运行 Windows XP (tm) 或 Windows 2000 (tm)，这表明 rdesktop 是一个解决方案。 但是 rdesktop 无法穿透防火墙，我们也不会为该流量打开防火墙，因为它太难保护。 添加 openVPN 可以提高安全性，但在我们的实施范围内，它遇到了以下问题

1. 我们必须在每个内部桌面和每个外部客户端机器（在家中、网吧或任何地方）上设置 openVPN 服务器，因此在 IT 时间方面会非常耗时，并且通常难以设置和工作，以适应每个用户的不同设置。
2. 如果您允许直接远程会话（即使通过 openVPN），您也会遇到几个潜在的安全风险。
   1. 外部客户端计算机上的键盘记录器
   2. 通过现在在互联网上打开和暴露的 VPN 端口直接攻击内部 Windows(tm) 计算机。
   3. 客户端计算机上的病毒、间谍软件和其他恶意软件通过已建立的 VPN 连接感染内部工作场所桌面（以及与之连接的任何其他设备）。
   4. 私钥存储在组织内不安全桌面上的多台计算机上。 任何有权访问该密钥的人（该密钥需要位于内部机器上才能建立 VPN 连接）都可能允许未经授权的密钥制作。
3. 只有由 IT 服务人员设置的特定外部机器才能连接和使用资源，而实际需要的是授权用户可以从任何地方访问。

为了消除上述安全问题并使系统在未来更易于维护，我建议创建一个 Linux Live CD，它可以启动，登录到连接外部和内部网络的 openVPN 服务器，然后使用 rdesktop 自动打开个人的内部桌面。

4. 实施

必须做出许多决定才能确定前进的方向。 以下小节详细介绍了我为获得可工作的原型而采取的一些路径。 请根据您的环境进行修改。 在适当的情况下，我将做出澄清性评论。

我查看了几个 Live CD 发行版，并得出结论，DSL 最适合手头的目的。 我考虑了以下几点

1. Ubuntu。 此 Live CD 需要相对高端的机器，并且具有比本项目有用的应用程序多得多的应用程序。 我没有尝试删除大量应用程序并进行精简，而是选择不使用它。 但是，如果您尝试向人们提供完整的桌面以及对内部网络的访问权限，这可能是一个不错的选择。
2. PuppyLinux。 这个 Live CD 看起来非常好，但是我在弄清楚它用于其根目录的 SFS 文件系统时遇到了麻烦，并且能够更容易地获得有关如何处理 Knoppix 压缩文件系统的说明和工具。
3. Knoppix。 与 Ubuntu 一样，此 Live CD 对于本项目的特定目的来说也过于笨重。
4. Damn Small Linux。 此 Live CD 占用空间为 50 MB，几乎可以在任何硬件上工作，并且是我选择实施的。

4.1 获取和修改基于 DSL 的 .ISO 文件。

选择 DSL 意味着我们依赖于 DSL 内置的自动查找、配置和通过 DHCP 连接到网络的能力。 DSL 的无线支持非常有限，因此我们目前不支持无线。 最终用户将需要一台通常通过其提供商的 DHCP 连接到互联网的机器，并使用普通的有线网卡来执行此操作。

1. 全新安装 Ubuntu (http://www.ubuntu.com)、EdUbuntu (http://www.edubuntu.org)、xUbuntu (http://www.xubuntu.org) 或 kUbuntu (http://www.kubuntu.org)
2. 使用 Synaptic 添加存储库（所有可用）
3. 安装 qemu、open-vpn 和 cloop-utils
4. 获取 ISO（我推荐 dsl-3.0 ISO）； 希望我很快就能在互联网上提供我的原型 CD 映像之一（不含 VPN 密钥），供您下载。 请参阅“示例”部分 - 此 ISO 可能是您入门的好地方。
5. 将 ISO 挂载到某个位置。

   1. mkdir /tmp/workingiso
      

   2. mount -t iso9660 -o loop dsl-3.0.iso /tmp/working.iso
      

6. 解压缩 ISO 的压缩文件系统

   1. extract_compressed_fs /tmp/workingiso/KNOPPIX/KNOPPIX > /var/tmp/KNOPPIX-cloop
      

   2. 将其挂载到某个位置

      1. mkdir /tmp/workingiso.cloop
         

      2. mount -o loop /var/tmp/KNOPPIX-cloop /tmp/workingiso.cloop
         

7. 现在您已访问 CD 的内部工作原理，请将其复制到您可以使用的位置。
   1. 创建一个工作目录（例如 /home/jeff/Desktop/vpn-tree）

   2. tar -C /tmp/workingiso.cloop -cf - . | tar -C /home/jeff/Desktop/vpn-tree -xvpf -
      

8. 还要复制 CD 的外部部分，您可以在其中使用它。
   1. 创建一个工作目录（例如 /home/jeff/Desktop/vpn-cd-tree）

   2. tar -C /tmp/workingiso -cf - . | tar -C /home/jeff/Desktop/vpn-cd-tree -xvpf -
      

9. 使用您现在拥有的内容制作 CD 映像，以确认您已完成到此步骤而没有错误。

   1. mkisofs -pad -l -r -J -V "YOURVPN v0.1" -no-emul-boot -boot-load-size 4 -boot-info-table -b boot/isolinux/isolinux.bin -c boot/isolinux/boot.cat -hide-rr-moved  -o yourvpn.iso /home/jeff/Desktop/vpn-cd-tree/
      

10. 假设以上步骤有效，您现在可以使用以下命令进行测试

    1. qemu -boot d -cdrom yourvpn.iso
       

11. 现在您可以开始进行更改。
    1. 使用以下命令挂载您的 proc

       mount -t proc none /home/jeff/Desktop/vpn-tree/proc
       

    2. chroot /home/jeff/Desktop/vpn-tree
       

    3. 对文件系统进行任何您想要的更改。
12. 在进行修改之后，是时候写出您的新压缩文件映像并制作 CD 了。
    1. 退出 chroot
    2. 卸载映像的 proc（不要忘记此步骤，否则您稍后构建映像时将无法正常工作）
    3. 制作压缩文件映像

       mkisofs -L -R -l -V "YOURVPN ISO9660" -v -allow-multidot /home/jeff/Desktop/vpn-tree/ | create_compressed_fs - 65536 > /home/jeff/Desktop/vpn-cd-tree/KNOPPIX/KNOPPIX 
       

    4. 制作 cd 映像

       mkisofs -pad -l -r -J -V "YOURVPN v0.2" -no-emul-boot -boot-load-size 4 -boot-info-table -b boot/isolinux/isolinux.bin -c boot/isolinux/boot.cat -hide-rr-moved -o yourvpn.iso /home/jeff/Desktop/vpn-cd-tree/
       

    5. 在模拟器中进行测试（我倾向于喜欢 qemu...使用您喜欢的任何模拟器：vmware、xen、?）

       qemu -boot d -cdrom yourvpn.iso
       

13. 根据需要重复此过程以获得所需的 ISO 映像。
14. 刻录映像并享受。

4.2 关于修改光盘上软件的评论。

1. 在 chroot 后将 openvpn*.deb 解压缩到根文件系统。
2. 确保所有正确的库都已复制到正确的位置。
   1. chroot
   2. ldd /usr/sbin/openvpn
   3. 转到主系统上的另一个根终端，并将任何库从主系统复制到 vpn-tree
   4. 制作 tun 节点：mknod /dev/net/tun c 10 200
3. 通过编辑 vpn-cd-tree/boot/isolinux/boot.msg 文件并删除“^Xlogo.16”来删除 DSL 名片图形的加载。
4. 通过编辑 vpn-cd-tree/boot/isolinux/isolinux.cfg 并将显示“PROMPT 1”的行更改为“PROMPT 0”，使其不等待启动选项。
5. 编辑文件 vpn-tree/etc/skel/.xinitrc 以反映我们希望在桌面上发生的事情。 删除将图标加载到桌面的代码； 删除使窗口透明的代码； 添加建立 VPN 连接的代码； 添加加载 rdesktop 并连接到正确机器的代码。
6. 编辑启动的显示屏幕。
   1. 将 vpn-cd-tree/boot/isolinux/minirt24.gz 复制到 /tmp
   2. gunzip minirt24.gz
   3. mount -o loop minirt24 /mnt
   4. 编辑 /etc/linuxrc 以显示指示机构名称的文本（您应该在此处放置适合您机构的名称）而不是“DSL”
   5. umount /mnt
   6. gzip minirt24
   7. 将 minirt24.gz 复制到 vpn-cd-tree/boot/isolinux/minirt24.gz

4.3 设置多用户 OpenVPN 服务器。

1. 按照说明为服务器制作证书和密钥。
2. 您将需要输入 openVPN HOWTO 中介绍的几条信息。
3. 请记住为客户端创建受密码保护的密钥。
4. 根据需要设置所有配置。
5. 对于每个客户端，您都需要
   1. 使用证书制作受密码保护的密钥
   2. 将证书和客户端密钥（仅限）放置在 vpn-tree/etc/openvpn/keys 目录中
   3. 调整 vpn-tree/etc/openvpn/openvpn.cfg 文件以指示正确的密钥文件（请参阅“示例”部分中的服务器配置文件）
   4. 调整 vpn-tree/opt/bootlocal.sh 中添加的路由
   5. 调整 vpn-tree/etc/skel/.xinitrc 以指向正确的 rdesktop IP。
6. 重建 CD。
7. 在模拟器中进行测试。
8. 一旦它正常工作，要么刻录 ISO，要么通过将 .ISO 放在 win-qemu-yourvpn-cd 目录中并构建该 .ISO 来制作 qemu Windows 模拟器版本（不要忘记之后刻录它）。

4.4 参考资料：

1. https://linuxjournal.cn/article/7246
2. http://openvpn.net/howto.html
3. http://www.damnsmalllinux.org
4. http://www.ubuntu.com

5. 维护

一旦构建完成，CD 就无需维护。 如果您需要更改单个用户的私钥密码，请为他们刻录一张新 CD。 如果他们丢失了 CD，请给他们一张新的刻录件。 如果 CD 被损坏，请给他们一份新的副本。

openVPN 服务器几乎不需要维护。 建议您定期检查服务器上的 openVPN 日志，以确定恶意活动的可能性并采取相应的措施。 用量跟踪不在本文档的范围之内。

6. 高级问题

我相信，我在此处描述的技术已经处理了大多数安全性和易用性问题。 当然，这项技术可能会暴露许多问题（主要是您自己机构内部的内部政治或政策问题）。

如果您发现该技术存在任何缺陷。 请联系我告知。

此外，如果您可以解释正确的 pf 规则，以使 *bsd 正确地将（伪装 10. 网络）数据包转发到 VPN 内部侧的互联网路由网络段，我肯定很乐意听到您的意见。 我无法使其工作，而我找到的 Linux 伪装规则就可以工作。

7. 特性

1. 最终用户的易用性
   1. 放入 CD
   2. 启动机器
   3. 输入私钥密码
   4. 登录工作桌面并像往常一样工作
2. 管理员的易用性
   1. 密钥生成与使用分离。
   2. 可以使用单个命令专门撤销用户的访问权限（而不影响其工作桌面）。
   3. 可以通过关闭服务器上的 openVPN 服务器进程来拒绝所有新用户。
   4. 可以通过关闭整个服务器来中断所有连接； 这也将拒绝未来的访问，直到服务器重新启动并且最终用户重新启动。
3. CD 构建过程可以自动化，以便于创建。
4. openVPN 日志可用于确定（或追踪）恶意或违反策略的计算机使用行为。

8. 故障排除

在这个项目的过程中，我使用了几种故障排除技术。 我希望尝试这样做的人熟悉其中的大部分或全部。 这里有一些

1. 当尝试证明您的流量确实通过 VPN 传输时，tcpdump 是您的好帮手。
2. 当您必须手动安装软件包时，ldd 对于找出缺少哪些库非常有帮助。
3. 当您不想浪费大量物理 CD 或刻录和启动它们的时间时，qemu 或其他模拟器是无价之宝。

9. 更多信息

如其他地方所述，请访问 http://openvpn.net 了解有关 openVPN 的更多信息...HOWTO 特别好。

请访问 http://damnsmalllinux.org 了解有关 DSL 的更多信息。

对于 Live CD 信息，Google 可能是您的最佳选择，尽管现在有一本 Live CD 书籍看起来相当不错。

10. 获取帮助

显然，上面提到的社区可以帮助您解决此难题的各个方面。

如果您在理解如何将所有这些组合在一起时需要帮助，请在您彻底阅读（并可能尝试过）本 HOWTO 后随时与我联系。

11. 结束语

这就是您所拥有的。 希望它能对您有所帮助。

12. 问题与解答

当我收到来自本文档的问题时，我将对其进行整理并在此处插入。

13. 零散信息

13.1 制作 Windows 自动运行光盘。

由于策略决定，我们将不部署此功能，尽管它确实有效。 这种方法的安全问题包括以下几点

1. 主机 Windows (tm) 机器上的键盘记录器。 这可能会被用来捕获私钥密码，并可能授予未经授权的访问权限。
2. 主机 Windows (tm) 机器上的恶意软件。 可能能够通过 VPN 发送...看起来不太可能。
3. 主机 Windows (tm) 机器上的病毒。 可能能够将其自身传播到内部网络...同样，这似乎不太可能。

这就是您创建它的方法。 这种方法可能对其他项目有用。

1. mkdir win-qemu-yourvpn-cd
   

2. 从 http://www.h7.dion.ne.jp/ qemu-win/ 下载 qemu-0.8.2-windows.zip
3. 将 qemu-0.8.2-windows.zip 解压缩到 win-qemu-yourvpn-cd 目录中。
4. 将所有 qemu-0.8.2-windows 文件向上移动一个目录。 删除 qemu-0.8.2 目录。
5. 制作图标文件。 我使用了一个库存图标，并使用 GIMP 调整了大小。
6. 在 win-qemu-yourvpn-cd 目录中创建一个 autorun.inf 文件，其中包含以下内容

           [autorun]
           icon=youricon.ico
           open=yourvpn.bat
           
   

7. 将 qemu-win.bat 复制到 yourvpn.bat。
8. 编辑 yourvpn.bat，将文件中的最后一行替换为：qemu.exe -L . -m 64 -soundhw all -localtime -cdrom yourvpn.iso
9. 将完全制作的可启动 .ISO 映像 yourvpn.iso 从其当前位置复制到 win-qemu-yourvpn-cd
10. 制作此目录的 ISO：mkisofs -pad -l -r -J -V "WQYOURVPN v0.1" -hide-rr-moved -o wqyourvpn.iso /home/jeff/Desktop/win-qemu-yourvpn-cd/
11. 刻录 ISO 并在 Windows (tm) 计算机上尝试。

14. 示例

这是配置文件（IP 地址和 CD 的密钥名称已删除）。 大写文本用于指示您需要将那里的任何内容更改为您的设置。

----------------

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server.     #
#                                            #
# This configuration can be used by multiple #
# clients, however each client should have   #
# its own cert and key files.                #
#                                            #
# On Windows, you might want to rename this  #
# file so it has a .ovpn extension           #
##############################################
# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one.  On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
;proto tcp
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote PUT_YOUR_OPENVPN_SERVER_IP_HERE 1194
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing.  Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
user nobody
group nogroup

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here.  See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets.  Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/THECDUSERSCRTFILE.crt
key /etc/openvpn/keys/THECDUSERSPASSWORDPROTECTEDPUBLICKEY.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server".  This is an
# important precaution to protect against
# a potential attack discussed here:
#  http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server".  The build-key-server
# script in the easy-rsa folder will do this.
ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
mute 20

#added in hopes of removing a command line option
auth-retry interact

这是服务器的 openVPN 配置文件。

----------------

#################################################
# Sample OpenVPN 2.0 config file for            #
# multi-client server.                          #
#                                               #
# Edited on 9/12/2006 by Jeff Waddell           #
#                                               #
# This file is for the server side              #
# of a many-clients <-> one-server              #
# OpenVPN configuration.                        #
#                                               #
# OpenVPN also supports                         #
# single-machine <-> single-machine             #
# configurations (See the Examples page         #
# on the web site for more info).               #
#                                               #
# This config should work on Windows            #
# or Linux/BSD systems.  Remember on            #
# Windows to quote pathnames and use            #
# double backslashes, e.g.:                     #
# "C:\\Program Files\\OpenVPN\\config\\foo.key" #
#                                               #
# Comments are preceded with '#' or ';'         #
#################################################

# Which local IP address should OpenVPN
# listen on? (optional)
;local a.b.c.d
local YOUR_OPENVPN_SERVER_IP_GOES_HERE_NEEDS_TO_BE_AN_IP_THAT_THIS_BOX_IS

# Which TCP/UDP port should OpenVPN listen on?
# If you want to run multiple OpenVPN instances
# on the same machine, use a different port
# number for each one.  You will need to
# open up this port on your firewall.
port 1194

# TCP or UDP server?
;proto tcp
proto udp

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
# Use "dev tap0" if you are ethernet bridging
# and have precreated a tap0 virtual interface
# and bridged it with your ethernet interface.
# If you want to control access policies
# over the VPN, you must create firewall
# rules for the the TUN/TAP interface.
# On non-Windows systems, you can give
# an explicit unit number, such as tun0.
# On Windows, use "dev-node" for this.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel if you
# have more than one.  On XP SP2 or higher,
# you may need to selectively disable the
# Windows firewall for the TAP adapter.
# Non-Windows systems usually don't need this.
;dev-node MyTap

# SSL/TLS root certificate (ca), certificate
# (cert), and private key (key).  Each client
# and the server must have their own cert and
# key file.  The server and all clients will
# use the same ca file.
#
# See the "easy-rsa" directory for a series
# of scripts for generating RSA certificates
# and private keys.  Remember to use
# a unique Common Name for the server
# and each of the client certificates.
#
# Any X509 key management system can be used.
# OpenVPN can also use a PKCS #12 formatted key file
# (see "pkcs12" directive in man page).
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret

# Diffie hellman parameters.
# Generate your own with:
#   openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using
# 2048 bit keys.
dh /etc/openvpn/keys/dh1024.pem

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
# The server will take 10.8.0.1 for itself,
# the rest will be made available to clients.
# Each client will be able to reach the server
# on 10.8.0.1. Comment this line out if you are
# ethernet bridging. See the man page for more info.
server 10.8.0.0 255.255.255.0

# Maintain a record of client <-> virtual IP address
# associations in this file.  If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned

# the same virtual IP address from the pool that was
# previously assigned.
ifconfig-pool-persist ipp.txt

# Configure server mode for ethernet bridging.
# You must first use your OS's bridging capability
# to bridge the TAP interface with the ethernet
# NIC interface.  Then you must manually set the
# IP/netmask on the bridge interface, here we
# assume 10.8.0.4/255.255.255.0.  Finally we
# must set aside an IP range in this subnet
# (start=10.8.0.50 end=10.8.0.100) to allocate
# to connecting clients.  Leave this line commented
# out unless you are ethernet bridging.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

# Push routes to the client to allow it
# to reach other private subnets behind
# the server.  Remember that these
# private subnets will also need
# to know to route the OpenVPN client
# address pool (10.8.0.0/255.255.255.0)
# back to the OpenVPN server.
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

# To assign specific IP addresses to specific
# clients or if a connecting client has a private
# subnet behind it that should also have VPN access,
# use the subdirectory "ccd" for client-specific
# configuration files (see man page for more info).

# EXAMPLE: Suppose the client
# having the certificate common name "Thelonious"
# also has a small subnet behind his connecting
# machine, such as 192.168.40.128/255.255.255.248.
# First, uncomment out these lines:
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
# Then create a file ccd/Thelonious with this line:
#   iroute 192.168.40.128 255.255.255.248
# This will allow Thelonious' private subnet to
# access the VPN.  This example will only work
# if you are routing, not bridging, i.e. you are
# using "dev tun" and "server" directives.

# EXAMPLE: Suppose you want to give
# Thelonious a fixed VPN IP address of 10.9.0.1.
# First uncomment out these lines:
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
# Then add this line to ccd/Thelonious:
#   ifconfig-push 10.9.0.1 10.9.0.2

# Suppose that you want to enable different
# firewall access policies for different groups
# of clients.  There are two methods:
# (1) Run multiple OpenVPN daemons, one for each
#     group, and firewall the TUN/TAP interface
#     for each group/daemon appropriately.
# (2) (Advanced) Create a script to dynamically
#     modify the firewall in response to access
#     from different clients.  See man
#     page for more info on learn-address script.
;learn-address ./script

# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# the TUN/TAP interface to the internet in
# order for this to work properly).
# CAVEAT: May break client's network config if
# client's local DHCP server packets get routed
# through the tunnel.  Solution: make sure
# client's local DHCP server is reachable via
# a more specific route than the default route
# of 0.0.0.0/0.0.0.0.
;push "redirect-gateway"

# Certain Windows-specific network settings
# can be pushed to clients, such as DNS
# or WINS server addresses.  CAVEAT:
# http://openvpn.net/faq.html#dhcpcaveats
;push "dhcp-option DNS 10.8.0.1"
;push "dhcp-option WINS 10.8.0.1"

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
;client-to-client

# Uncomment this directive if multiple clients
# might connect with the same certificate/key
# files or common names.  This is recommended
# only for testing purposes.  For production use,
# each client should have its own certificate/key
# pair.
#
# IF YOU HAVE NOT GENERATED INDIVIDUAL
# CERTIFICATE/KEY PAIRS FOR EACH CLIENT,
# EACH HAVING ITS OWN UNIQUE "COMMON NAME",
# UNCOMMENT THIS LINE OUT.
;duplicate-cn

# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
keepalive 10 60

# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
#
# Generate with:
#   openvpn --genkey --secret ta.key
#
# The server and each client must have
# a copy of this key.
# The second parameter should be '0'
# on the server and '1' on the clients.
;tls-auth ta.key 0 # This file is secret

# Select a cryptographic cipher.
# This config item must be copied to
# the client config file as well.
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES

# Enable compression on the VPN link.
# If you enable it here, you must also
# enable it in the client config file.
comp-lzo

# The maximum number of concurrently connected
# clients we want to allow.
;max-clients 100

# It's a good idea to reduce the OpenVPN
# daemon's privileges after initialization.
#
# You can uncomment this out on
# non-Windows systems.
user nobody
group nogroup

# The persist options will try to avoid
# accessing certain resources on restart
# that may no longer be accessible because
# of the privilege downgrade.
persist-key
persist-tun

# Output a short status file showing
# current connections, truncated
# and rewritten every minute.
status /var/log/openvpn-status.log

# By default, log messages will go to the syslog (or
# on Windows, if running as a service, they will go to
# the "\Program Files\OpenVPN\log" directory).
# Use log or log-append to override this default.
# "log" will truncate the log file on OpenVPN startup,
# while "log-append" will append to it.  Use one
# or the other (but not both).
;log         openvpn.log
log-append  /var/log/openvpn.log

# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 3

# Silence repeating messages.  At most 20
# sequential messages of the same message
# category will be output to the log.
mute 20

----------------

仍在寻找 Web 空间来存储 .ISO 文件。