Bu mhath leam an t-eòlas a th’ agam air a bhith a’ cothlamadh lìonraidhean ann an trì àrosan air astar a cho-roinn, gach fear dhiubh a’ cleachdadh routers le OpenWRT mar gheata, gu aon lìonra cumanta. Nuair a thaghas tu dòigh airson lìonraidhean a cheangal eadar L3 le slighe subnet agus L2 le drochaid, nuair a bhios a h-uile nod lìonra san aon subnet, chaidh roghainn a thoirt don dàrna dòigh, a tha nas duilghe a rèiteachadh, ach a bheir barrachd chothroman, leis gu bheil e follaiseach chaidh cleachdadh theicneòlasan a dhealbhadh anns an lìonra cruthaichte Wake-on-Lan agus DLNA.
Pàirt 1: Cùl-fhiosrachadh
B’ e am pròtacal a chaidh a thaghadh gus an obair seo a chur an gnìomh an toiseach OpenVPN, oir, an toiseach, faodaidh e inneal tap a chruthachadh a ghabhas cur ris an drochaid gun duilgheadas sam bith, agus san dàrna àite, OpenVPN Tha e a’ toirt taic do TCP, rud a bha cudromach cuideachd, leis nach robh seòladh IP sònraichte aig gin de na flataichean. Cha b’ urrainn dhomh STUN a chleachdadh leis gu bheil an ISP agam, airson adhbhar air choireigin, a’ bacadh cheanglaichean UDP a tha a’ tighinn a-steach bho na lìonraidhean aige. Leig TCP leam port an fhrithealaiche VPN a chuir air adhart chun VPS màil a’ cleachdadh SSH. Ged a chruthaicheas an dòigh-obrach seo cosgais mhòr, leis gu bheil an dàta air a chrioptachadh dùbailte, cha robh mi airson an VPS a thoirt a-steach don lìonra prìobhaideach agam, leis gu robh cunnart ann gum faigheadh treas phàrtaidhean smachd air. Mar sin, cha robh e math inneal mar sin a bhith air an lìonra dachaigh agam, agus mar sin cho-dhùin mi cosgais mhòr a phàigheadh airson tèarainteachd.
Gus am port air an router far an robh dùil an frithealaiche a chleachdadh a chuir air adhart, chleachd mi am prògram sshtunnel. Cha tèid mi a-steach do mhion-fhiosrachadh a rèiteachaidh—tha e gu math furasta. Mothaichidh mi dìreach gur e an t-adhbhar a bh’ aige port TCP 1194 a chuir air adhart bhon router chun VPS. An uairsin, rèitich mi an frithealaiche. OpenVPN Air an inneal tap0, a bha ceangailte ris an drochaid br-lan. Às dèidh dhomh an ceangal ris an fhrithealaiche ùr-chruthaichte a dhearbhadh bhon laptop agam, dh'fhàs e soilleir gun robh am beachd air puirt a chuir air adhart air obrachadh, agus gun robh an laptop agam air a bhith na bhall de lìonra an router, ged nach robh e gu corporra na phàirt dheth.
Cha robh dad air fhàgail ri dhèanamh ach seòlaidhean IP a sgaoileadh ann an diofar àrosan gus nach biodh iad a’ dol an aghaidh a chèile agus na routers a rèiteachadh mar a bha iad ag iarraidh. OpenVPN-luchd-dèiligidh.
Chaidh na seòlaidhean IP router a leanas agus raointean frithealaiche DHCP a thaghadh:
- 192.168.10.1 le raon 192.168.10.2 - 192.168.10.80 airson an fhrithealaiche
- 192.168.10.100 le raon 192.168.10.101 - 192.168.10.149 airson router ann an àros Àir. 2
- 192.168.10.150 le raon 192.168.10.151 - 192.168.10.199 airson router ann an àros Àir. 3
Bha e riatanach cuideachd na seòlaidhean seo a shònrachadh do na routers teachdaiche. OpenVPN-server, le bhith a’ cur an loidhne a leanas ris an rèiteachadh aige:
ifconfig-pool-persist /etc/openvpn/ipp.txt 0agus a’ cur na loidhnichean a leanas ris an fhaidhle /etc/openvpn/ipp.txt:
flat1_id 192.168.10.100
flat2_id 192.168.10.150
far a bheil flat1_id agus flat2_id nan ainmean innealan a chaidh a shònrachadh nuair a thathar a’ cruthachadh theisteanasan airson ceangal ri OpenVPN
An ath rud, chaidh na routers a rèiteachadh OpenVPN- luchd-dèiligidh, chaidh innealan tap0 air an dà chuid a chur ris an drochaid br-lan. Aig an ìre seo, bha a h-uile dad a’ coimhead ceart gu leòr, leis gum faiceadh na trì lìonraidhean a chèile agus gum biodh iad ag obair mar aon aonad. Ach, nochd mion-fhiosrachadh caran mì-thlachdmhor: uaireannan gheibheadh innealan seòladh IP bhon router ceàrr, leis na builean uile a lean. Airson adhbhar air choireigin, dh’fhàillig an router ann an aon de na flataichean freagairt a thoirt do DHCPDISCOVER ann an tìm, agus fhuair an inneal an seòladh ceàrr. Thuig mi gum feumadh mi iarrtasan mar sin a shìoladh ann an tap0 air gach router, ach mar a thionndaidh e a-mach, chan urrainn dha iptables obrachadh le inneal ma tha e na phàirt de dhrochaid, agus mar sin dh’fheumadh mi ebtables a chleachdadh. Gu mì-fhortanach, cha robh e air a ghabhail a-steach sa firmware agam, agus mar sin dh’fheumadh mi na h-ìomhaighean airson gach inneal ath-thogail. Às deidh dhomh seo a dhèanamh agus na loidhnichean a leanas a chur ri /etc/rc.local air gach router, chaidh an duilgheadas fhuasgladh:
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
Mhair an rèiteachadh seo airson trì bliadhna.
Pàirt 2: A’ faighinn eòlas WireGuard
O chionn ghoirid, tha barrachd is barrachd còmhraidh air a bhith air an eadar-lìon mu dheidhinn WireGuard, a’ moladh cho furasta ‘s a tha e a rèiteachadh, astar gluasaid àrd, ping ìosal, agus tèarainteachd choimeasach. Nochd rannsachadh airson fiosrachadh a bharrachd mu dheidhinn nach eil e a’ toirt taic do thaic ball drochaid no protocol TCP, agus thug sin orm a chreidsinn nach robh roghainn eile ann. OpenVPN chan eil e ann fhathast dhomhsa. Mar sin chuir mi dheth a bhith a’ faighinn eòlas air WireGuard.
Beagan làithean air ais, sgaoil naidheachdan tro ghoireasan co-cheangailte ri IT ann an aon dòigh no ann an dòigh eile a WireGuard thèid a ghabhail a-steach don eithne mu dheireadh Linux, a’ tòiseachadh le dreach 5.6. Chaidh moladh a thoirt do artaigilean naidheachd, mar as àbhaist. WireGuardThòisich mi a-rithist a’ lorg dhòighean air an t-seann rud mhath a chur na àite OpenVPNAn turas seo ruith mi a-steach . Bhruidhinn e mu bhith a’ cruthachadh tunail Ethernet thairis air L3 a’ cleachdadh GRE. Thug an artaigil seo dòchas dhomh. Cha robh e soilleir fhathast dè a bu chòir a dhèanamh le protocol an UDP. Le bhith a’ sgrùdadh thug mi gu artaigilean mu bhith a’ cleachdadh socat ann an co-bhonn ri tunail SSH gus port UDP a chuir air adhart, ge-tà, thug iad fa-near nach obraich an dòigh-obrach seo ach ann am modh ceangail singilte, a tha a’ ciallachadh gum biodh ioma-chleachdaiche VPN do-dhèanta. Thàinig mi suas leis a 'bheachd a bhith a' stèidheachadh frithealaiche VPN air VPS, agus GRE a stèidheachadh airson luchd-dèiligidh, ach mar a thàinig e a-mach, chan eil GRE a 'toirt taic do chrioptachadh, a bheir gu buil ma gheibh treas pàrtaidhean cothrom air an fhrithealaiche , tha a h-uile trafaic eadar na lìonraidhean agam nan làmhan nach robh freagarrach dhomh idir.
A-rithist, chaidh an co-dhùnadh a dhèanamh airson crioptachadh gun fheum, le bhith a’ cleachdadh VPN thairis air VPN a rèir an sgeama a leanas:
Sreath XNUMX VPN:
VPS tha e frithealaiche le seòladh a-staigh 192.168.30.1
MS tha e neach-dèiligidh VPS le seòladh a-staigh 192.168.30.2
MK2 tha e neach-dèiligidh VPS le seòladh a-staigh 192.168.30.3
MK3 tha e neach-dèiligidh VPS le seòladh a-staigh 192.168.30.4
Sreath XNUMX VPN:
MS tha e frithealaiche le seòladh a-muigh 192.168.30.2 agus taobh a-staigh 192.168.31.1
MK2 tha e neach-dèiligidh MS leis an t-seòladh 192.168.30.2 agus tha IP a-staigh de 192.168.31.2
MK3 tha e neach-dèiligidh MS leis an t-seòladh 192.168.30.2 agus tha IP a-staigh de 192.168.31.3
* MS - router-server ann am àros 1, MK2 - router ann an àros 2, MK3 - router ann am flat 3
* Tha rèiteachadh innealan air fhoillseachadh anns an spoiler aig deireadh an artaigil.
Agus mar sin, bidh pings eadar nodan an lìonra 192.168.31.0/24 a’ falbh, tha an t-àm ann gluasad air adhart gu bhith a’ stèidheachadh tunail GRE. Roimhe sin, gus nach caill thu ruigsinneachd air routers, is fhiach tunailean SSH a stèidheachadh gus port 22 a chuir air adhart chun VPS, gus, mar eisimpleir, gum bi router bho àros 10022 ri fhaighinn air port 2 den VPS, agus a bidh router bho àros 11122 ri fhaighinn air port 3 den router VPS bho àros XNUMX. Tha e nas fheàrr an gluasad air adhart a rèiteachadh leis an aon sshtunnel, oir bheir e air ais an tunail gun fhios nach tuit e.
Tha an tunail air a rèiteachadh, faodaidh tu ceangal ri SSH tron phort air adhart:
ssh root@МОЙ_VPS -p 10022An ath rud bu chòir dhut a dhì-cheadachadh OpenVPN:
/etc/init.d/openvpn stopA-nis leig dhuinn tunail GRE a stèidheachadh air an router bho àros 2:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up
Agus cuir an eadar-aghaidh cruthaichte ris an drochaid:
brctl addif br-lan grelan0
Feuch an dèan sinn dòigh-obrach coltach ris air router an fhrithealaiche:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up
Agus, cuideachd, cuir an eadar-aghaidh cruthaichte ris an drochaid:
brctl addif br-lan grelan0
A 'tòiseachadh bhon mhionaid seo, bidh pings a' tòiseachadh a 'dol gu lìonra ùr gu soirbheachail agus bidh mi, le toileachas, a' dol a dh'òl cofaidh. An uairsin, gus faicinn mar a tha an lìonra air ceann eile na h-uèir ag obair, feuchaidh mi ri SSH a-steach do aon de na coimpiutairean ann an àros 2, ach bidh an neach-dèiligidh ssh a ’reothadh gun a bhith gam bhrosnachadh airson facal-faire. Bidh mi a’ feuchainn ri ceangal ris a’ choimpiutair seo tro telnet air port 22 agus loidhne fhaicinn às an tuig thu gu bheil an ceangal ga stèidheachadh, tha am frithealaiche SSH a’ freagairt, ach airson adhbhar air choireigin chan eil e a’ tabhann dhomh a dhol a-steach.
$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1
Tha mi a’ feuchainn ri ceangal ris tro VNC agus chì mi scrion dubh. Tha mi a’ toirt a chreidsinn orm fhìn gu bheil a’ chùis anns a’ choimpiutair iomallach, oir is urrainn dhomh ceangal a dhèanamh gu furasta ris an router bhon àros seo a’ cleachdadh an t-seòladh a-staigh. Ach, tha mi a’ co-dhùnadh SSH a-steach don choimpiutair seo tron rothadair agus tha e na iongnadh dhomh faighinn a-mach gu bheil an ceangal a ’soirbheachadh agus gu bheil an coimpiutair iomallach ag obair gu math ach nach eil e a’ ceangal ris a ’choimpiutair agam an dàrna cuid.
Bheir mi an inneal grelan0 a-mach às an drochaid agus ruithidh mi e. OpenVPN Air an router ann an àros 2, dhearbh mi gu robh an lìonra ag obair ceart a-rithist agus nach robh na ceanglaichean a’ tuiteam. Nuair a bha mi a’ rannsachadh, thàinig mi tarsainn air fòraman far an robh daoine a’ gearan mun aon chùisean, agus far an deach comhairle a thoirt dhaibh an MTU àrdachadh. Cha bu luaithe a chaidh a ràdh na dhèanamh. Ach, gus an deach an MTU a shuidheachadh àrd gu leòr - 7000 airson innealan gretap - dh’fhiosraich mi ceanglaichean TCP a’ tuiteam no astaran gluasaid ìosal. Air sgàth an MTU àrd airson gretap, an MTU airson ceanglaichean WireGuard Chaidh a’ chiad agus an dàrna ìre a shuidheachadh aig 8000 agus 7500 fa leth.
Rinn mi suidheachadh coltach ris air an router bho àros 3, agus is e an aon eadar-dhealachadh gun deach dàrna eadar-aghaidh gretap leis an t-ainm grelan1 a chuir ri router an fhrithealaiche, a chaidh a chuir ris an drochaid br-lan cuideachd.
Tha a h-uile dad ag obair. A-nis faodaidh tu an co-chruinneachadh gretap a chuir ann an fèin-luchdachadh. Airson seo:
Chuir sinn na loidhnichean sin ann an /etc/rc.local air an router ann an àros 2:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
Chuir sinn seo ri /etc/rc.local air an router ann an àros 3:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
Agus air router an fhrithealaiche:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1
Às dèidh dhomh na routers client ath-thòiseachadh, fhuair mi a-mach nach robh iad a’ ceangal ris an fhrithealaiche airson adhbhar air choireigin. Às dèidh dhomh ceangal ris an SSH aca (gu fortanach, bha mi air sshtunnel a rèiteachadh airson seo roimhe), fhuair mi a-mach sin WireGuard Air adhbhar air choireigin, cruthaichidh e slighe airson a’ phuing-crìche, ach tha e ceàrr. Mar eisimpleir, airson 192.168.30.2, shònraich an clàr slighe slighe tron eadar-aghaidh pppoe-wan, i.e., tron eadar-lìon, ged a bu chòir an t-slighe thuige a bhith air a stiùireadh tron eadar-aghaidh wg0. Às dèidh an t-slighe seo a dhubhadh às, chaidh an ceangal ath-stèidheachadh. An urrainn dhomh stiùireadh a lorg an àite sam bith air mar a nì mi ceangal feachdaichte? WireGuard Cha b’ urrainn dhomh na slighean seo a sheachnadh. A bharrachd air sin, cha do thuig mi eadhon an e feart de OpenWRT no feart den WireGuardGun mòran ùine a chaitheamh a’ feuchainn ri faighinn a-mach dè an duilgheadas a bh’ ann, chuir mi loidhne ris an sgriobt timer-loop air an dà router a sguab às an t-slighe seo:
route del 192.168.30.2
A 'togail suas
Diùltadh iomlan OpenVPN Chan eil mi air seo a choileanadh fhathast, oir feumaidh mi ceangal ri lìonra ùr bho laptop no fòn bho àm gu àm, agus mar as trice chan eil e comasach inneal gretap a stèidheachadh orra. Ach, a dh’ aindeoin seo, tha mi air buannachd fhaighinn ann an astar gluasad dàta eadar àrosan, agus tha cleachdadh VNC, mar eisimpleir, a-nis gun duilgheadas. Tha Ping air lùghdachadh beagan ach tha e air fàs nas seasmhaiche:
Nuair a bhios tu a 'cleachdadh OpenVPN:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms
Nuair a bhios tu a 'cleachdadh WireGuard:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms
Tha e gu ìre mhòr fo bhuaidh ping àrd gu VPS a tha timcheall air 61.5ms
Ach, tha an astar air a dhol suas gu mòr. Mar sin, san àros leis an router-frithealaiche, tha astar ceangail eadar-lìn agam de 30 Mbps, agus anns na h-àrosan eile tha e 5 Mbps. A bharrachd air sin, rè cleachdadh OpenVPN Cha b’ urrainn dhomh astar gluasaid dàta eadar lìonraidhean nas motha na 3,8 Mbps a choileanadh a rèir leughaidhean iperf, fhad ’s a bha WireGuard "phumpadh" e suas chun an aon 5 Mbit/diog.
Rèiteachadh WireGuard air VPS[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>
[Co-aoisean]
Iuchair Phoblach = <VPN_1_MS_PUBLIC_KEY>
CeadaichteIPs = 192.168.30.2/32
[Co-aoisean]
Iuchair Phoblach = <VPN_2_MK2_PUBLIC_KEY>
CeadaichteIPs = 192.168.30.3/32
[Co-aoisean]
Iuchair Phoblach = <VPN_2_MK3_PUBLIC_KEY>
CeadaichteIPs = 192.168.30.4/32
Rèiteachadh WireGuard air MS (air a chur ri /etc/config/network)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.2/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option route_allowed_ips '1'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - сервер
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option listen_port '51821'
list addresses '192.168.31.1/24'
option auto '1'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
list allowed_ips '192.168.31.2'
config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
list allowed_ips '192.168.31.3'
Rèiteachadh WireGuard air MK2 (air a chur ri /etc/config/network)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.3/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - клиент
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
list addresses '192.168.31.2/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
Rèiteachadh WireGuard air MK3 (air a chur ri /etc/config/network)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.4/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - клиент
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
list addresses '192.168.31.3/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
Anns na rèiteachaidhean a chaidh a mhìneachadh airson VPN an dàrna ìre, tha mi a’ comharrachadh do luchd-dèiligidh WireGuard Port 51821. Cha bu chòir seo a bhith riatanach, oir stèidhichidh an neach-dèiligidh ceangal bho phort saor, neo-phribhideil sam bith, ach rinn mi e san dòigh seo gus am b’ urrainn dhomh a h-uile ceangal a tha a’ tighinn a-steach air eadar-aghaidhean wg0 nan routers uile a dhiùltadh, ach a-mhàin ceanglaichean UDP a tha a’ tighinn a-steach gu port 51821.
Tha mi an dòchas gum bi an artaigil feumail do chuideigin.
PS Cuideachd, tha mi airson mo sgriobt a cho-roinn a chuireas fios PUSH thugam chun fhòn agam san tagradh WirePusher nuair a nochdas inneal ùr air an lìonra agam. Seo ceangal dhan sgriobt: .
ÙRACHADH: Rèiteachadh OpenVPN- frithealaichean agus luchd-dèiligidh
OpenVPN-fhrithealaiche
client-to-client
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key
dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzoOpenVPN-neach-dèiligidh
client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind
ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem
comp-lzo
persist-tun
persist-key
verb 3 Chleachd mi easy-rsa airson teisteanasan a ghineadh.
Source: www.habr.com
