Bu mhath leam an t-eòlas a th’ agam air a bhith a’ cothlamadh lìonraidhean ann an trì àrosan air astar a cho-roinn, gach fear dhiubh a’ cleachdadh routers le OpenWRT mar gheata, gu aon lìonra cumanta. Nuair a thaghas tu dòigh airson lìonraidhean a cheangal eadar L3 le slighe subnet agus L2 le drochaid, nuair a bhios a h-uile nod lìonra san aon subnet, chaidh roghainn a thoirt don dàrna dòigh, a tha nas duilghe a rèiteachadh, ach a bheir barrachd chothroman, leis gu bheil e follaiseach chaidh cleachdadh theicneòlasan a dhealbhadh anns an lìonra cruthaichte Wake-on-Lan agus DLNA.
Pàirt 1: Cùl-fhiosrachadh
Chaidh OpenVPN a thaghadh an toiseach mar phròtacal airson a’ ghnìomh seo a bhuileachadh, oir, an toiseach, faodaidh e inneal tap a chruthachadh a ghabhas cur ris an drochaid gun duilgheadas sam bith, agus san dàrna àite, tha OpenVPN a’ toirt taic do ghnìomhachd thairis air protocol TCP, a bha cuideachd cudromach, air sgàth cha robh seòladh IP sònraichte aig gin de na flataichean, agus cha b’ urrainn dhomh STUN a chleachdadh, oir airson adhbhar air choireigin tha an ISP agam a’ bacadh ceanglaichean UDP a tha a’ tighinn a-steach bho na lìonraidhean aca, fhad ‘s a leig protocol TCP leam am port frithealaiche VPN a chuir air adhart air VPS air màl a’ cleachdadh SSH. Tha, tha an dòigh-obrach seo a’ toirt eallach mòr, leis gu bheil an dàta air a chrioptachadh dà uair, ach cha robh mi airson an VPS a thoirt a-steach don lìonra phrìobhaideach agam, leis gu robh cunnart ann fhathast gum faigheadh treas phàrtaidhean smachd air, mar sin, le leithid de bha inneal air an lìonra dachaigh air leth mì-mhiannach agus chaidh co-dhùnadh pàigheadh airson tèarainteachd le cosgais mòr.
Gus am port a chuir air adhart air an router air an robh dùil an frithealaiche a chuir a-steach, chaidh am prògram sshtunnel a chleachdadh. Cha toir mi cunntas air cho iom-fhillte ‘s a tha an rèiteachadh aige - tha seo air a dhèanamh gu math furasta, tha mi dìreach a’ toirt fa-near gur e an obair aige port TCP 1194 a chuir air adhart bhon router chun VPS. An uairsin, chaidh am frithealaiche OpenVPN a rèiteachadh air an inneal tap0, a bha ceangailte ris an drochaid br-lan. Às deidh sgrùdadh a dhèanamh air a ’cheangal ris an t-seirbheisiche a chaidh a chruthachadh às ùr bhon laptop, dh’ fhàs e soilleir gu robh am beachd air cur air adhart port ceart agus thàinig an laptop agam gu bhith na bhall de lìonra an router, ged nach robh e gu corporra ann.
Bha a’ chùis fhathast beag: bha e riatanach seòlaidhean IP a sgaoileadh ann an diofar àitean gus nach biodh iad a’ strì agus a’ rèiteachadh routers mar luchd-dèiligidh OpenVPN.
Chaidh na seòlaidhean IP router a leanas agus raointean frithealaiche DHCP a thaghadh:
- 192.168.10.1 le raon 192.168.10.2 - 192.168.10.80 airson an fhrithealaiche
- 192.168.10.100 le raon 192.168.10.101 - 192.168.10.149 airson router ann an àros Àir. 2
- 192.168.10.150 le raon 192.168.10.151 - 192.168.10.199 airson router ann an àros Àir. 3
Bha e riatanach cuideachd na seòlaidhean sin a shònrachadh gu dìreach do routers teachdaiche an fhrithealaiche OpenVPN le bhith a’ cur na loidhne ris an rèiteachadh aige:
ifconfig-pool-persist /etc/openvpn/ipp.txt 0agus a’ cur na loidhnichean a leanas ris an fhaidhle /etc/openvpn/ipp.txt:
flat1_id 192.168.10.100
flat2_id 192.168.10.150
far a bheil flat1_id agus flat2_id nan ainmean innealan a chaidh a shònrachadh nuair a thathar a’ cruthachadh theisteanasan airson ceangal ri OpenVPN
An uairsin, chaidh teachdaichean OpenVPN a rèiteachadh air na routers, chaidh na h-innealan tap0 air an dà chuid a chuir ris an drochaid br-lan. Aig an ìre seo, bha coltas gu robh a h-uile dad ann an òrdugh, leis gu bheil na trì lìonraidhean a ’faicinn a chèile agus ag obair gu h-iomlan. Ach, thàinig mion-fhiosrachadh nach robh gu math tlachdmhor a-mach: uaireannan gheibheadh innealan seòladh IP chan ann bhon router aca, leis a h-uile buaidh a thig às. Airson adhbhar air choireigin, cha robh ùine aig an router ann an aon de na flataichean freagairt a thoirt do DHCPDISCOVER ann an àm agus fhuair an inneal an seòladh ceàrr. Thuig mi gum feum mi na h-iarrtasan sin a shìoladh ann an tap0 air gach aon de na routers, ach mar a thàinig e a-mach, chan urrainn dha iptables obrachadh le inneal ma tha e na phàirt de dhrochaid agus bu chòir ebtables a thighinn gu mo shàbhaladh. Gu mo aithreachas, cha robh e anns a’ firmware agam agus bha agam ri na h-ìomhaighean airson gach inneal ath-thogail. Le bhith a’ dèanamh seo agus a’ cur na loidhnichean sin ri /etc/rc.local de gach router, chaidh an duilgheadas fhuasgladh:
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
Mhair an rèiteachadh seo airson trì bliadhna.
Pàirt 2: A 'toirt a-steach WireGuard
O chionn ghoirid, tha an eadar-lìn air a bhith a ’bruidhinn barrachd is barrachd mu WireGuard, a’ coimhead air cho sìmplidh ‘s a tha an rèiteachadh, astar gluasaid àrd, ping ìosal le tèarainteachd coimeasach. Le bhith a’ coimhead airson tuilleadh fiosrachaidh mu dheidhinn rinn e soilleir nach eil obair mar bhall drochaid no obair air protocol TCP a’ faighinn taic bhuaithe, a thug orm smaoineachadh nach eil roghainnean eile ann fhathast an àite OpenVPN dhòmhsa. Mar sin chuir mi stad air eòlas fhaighinn air WireGuard.
O chionn beagan làithean, sgaoil an naidheachd tro ghoireasan aon dòigh no dòigh eile co-cheangailte ri IT gum bi WireGuard air a thoirt a-steach don kernel Linux mu dheireadh, a ’tòiseachadh le dreach 5.6. Mhol artaigilean naidheachdan, mar a bha e an-còmhnaidh, WireGuard. Chaidh mi a-steach don rannsachadh a-rithist airson dòighean air an t-seann OpenVPN math a chuir an àite. An turas seo ruith mi a-steach . Bhruidhinn e mu bhith a’ cruthachadh tunail Ethernet thairis air L3 a’ cleachdadh GRE. Thug an artaigil seo dòchas dhomh. Cha robh e soilleir fhathast dè a bu chòir a dhèanamh le protocol an UDP. Le bhith a’ sgrùdadh thug mi gu artaigilean mu bhith a’ cleachdadh socat ann an co-bhonn ri tunail SSH gus port UDP a chuir air adhart, ge-tà, thug iad fa-near nach obraich an dòigh-obrach seo ach ann am modh ceangail singilte, a tha a’ ciallachadh gum biodh ioma-chleachdaiche VPN do-dhèanta. Thàinig mi suas leis a 'bheachd a bhith a' stèidheachadh frithealaiche VPN air VPS, agus GRE a stèidheachadh airson luchd-dèiligidh, ach mar a thàinig e a-mach, chan eil GRE a 'toirt taic do chrioptachadh, a bheir gu buil ma gheibh treas pàrtaidhean cothrom air an fhrithealaiche , tha a h-uile trafaic eadar na lìonraidhean agam nan làmhan nach robh freagarrach dhomh idir.
A-rithist, chaidh an co-dhùnadh a dhèanamh airson crioptachadh gun fheum, le bhith a’ cleachdadh VPN thairis air VPN a rèir an sgeama a leanas:
Sreath XNUMX VPN:
VPS tha e frithealaiche le seòladh a-staigh 192.168.30.1
MS tha e neach-dèiligidh VPS le seòladh a-staigh 192.168.30.2
MK2 tha e neach-dèiligidh VPS le seòladh a-staigh 192.168.30.3
MK3 tha e neach-dèiligidh VPS le seòladh a-staigh 192.168.30.4
Sreath XNUMX VPN:
MS tha e frithealaiche le seòladh a-muigh 192.168.30.2 agus taobh a-staigh 192.168.31.1
MK2 tha e neach-dèiligidh MS leis an t-seòladh 192.168.30.2 agus tha IP a-staigh de 192.168.31.2
MK3 tha e neach-dèiligidh MS leis an t-seòladh 192.168.30.2 agus tha IP a-staigh de 192.168.31.3
* MS - router-server ann am àros 1, MK2 - router ann an àros 2, MK3 - router ann am flat 3
* Tha rèiteachadh innealan air fhoillseachadh anns an spoiler aig deireadh an artaigil.
Agus mar sin, bidh pings eadar nodan an lìonra 192.168.31.0/24 a’ falbh, tha an t-àm ann gluasad air adhart gu bhith a’ stèidheachadh tunail GRE. Roimhe sin, gus nach caill thu ruigsinneachd air routers, is fhiach tunailean SSH a stèidheachadh gus port 22 a chuir air adhart chun VPS, gus, mar eisimpleir, gum bi router bho àros 10022 ri fhaighinn air port 2 den VPS, agus a bidh router bho àros 11122 ri fhaighinn air port 3 den router VPS bho àros XNUMX. Tha e nas fheàrr an gluasad air adhart a rèiteachadh leis an aon sshtunnel, oir bheir e air ais an tunail gun fhios nach tuit e.
Tha an tunail air a rèiteachadh, faodaidh tu ceangal ri SSH tron phort air adhart:
ssh root@МОЙ_VPS -p 10022An uairsin, cuir dheth OpenVPN:
/etc/init.d/openvpn stopA-nis leig dhuinn tunail GRE a stèidheachadh air an router bho àros 2:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up
Agus cuir an eadar-aghaidh cruthaichte ris an drochaid:
brctl addif br-lan grelan0
Feuch an dèan sinn dòigh-obrach coltach ris air router an fhrithealaiche:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up
Agus, cuideachd, cuir an eadar-aghaidh cruthaichte ris an drochaid:
brctl addif br-lan grelan0
A 'tòiseachadh bhon mhionaid seo, bidh pings a' tòiseachadh a 'dol gu lìonra ùr gu soirbheachail agus bidh mi, le toileachas, a' dol a dh'òl cofaidh. An uairsin, gus faicinn mar a tha an lìonra air ceann eile na h-uèir ag obair, feuchaidh mi ri SSH a-steach do aon de na coimpiutairean ann an àros 2, ach bidh an neach-dèiligidh ssh a ’reothadh gun a bhith gam bhrosnachadh airson facal-faire. Bidh mi a’ feuchainn ri ceangal ris a’ choimpiutair seo tro telnet air port 22 agus loidhne fhaicinn às an tuig thu gu bheil an ceangal ga stèidheachadh, tha am frithealaiche SSH a’ freagairt, ach airson adhbhar air choireigin chan eil e a’ tabhann dhomh a dhol a-steach.
$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1
Tha mi a’ feuchainn ri ceangal ris tro VNC agus chì mi scrion dubh. Tha mi a’ toirt a chreidsinn orm fhìn gu bheil a’ chùis anns a’ choimpiutair iomallach, oir is urrainn dhomh ceangal a dhèanamh gu furasta ris an router bhon àros seo a’ cleachdadh an t-seòladh a-staigh. Ach, tha mi a’ co-dhùnadh SSH a-steach don choimpiutair seo tron rothadair agus tha e na iongnadh dhomh faighinn a-mach gu bheil an ceangal a ’soirbheachadh agus gu bheil an coimpiutair iomallach ag obair gu math ach nach eil e a’ ceangal ris a ’choimpiutair agam an dàrna cuid.
Bheir mi an inneal grelan0 a-mach às an drochaid agus tòisichidh mi OpenVPN air an router ann an àros 2 agus dèan cinnteach gu bheil an lìonra ag obair ceart a-rithist agus nach eil ceanglaichean a’ tuiteam. Lorg thig mi tarsainn air fòraman far am bi daoine a’ gearain mu na h-aon dhuilgheadasan, far a bheilear a’ comhairleachadh an MTU a thogail. Cha bu luaithe thuirt na chaidh a dhèanamh. Ach, gus an deach an MTU a shuidheachadh gu luach mòr gu leòr de 7000 airson innealan gretap, chaidh ceanglaichean TCP sìos no chaidh tar-chuir slaodach fhaicinn. Air sgàth an MTU àrd airson gretap, chaidh na MTUn airson ceanglaichean WireGuard den chiad agus an dàrna ìre a shuidheachadh gu 8000 agus 7500, fa leth.
Rinn mi suidheachadh coltach ris air an router bho àros 3, agus is e an aon eadar-dhealachadh gun deach dàrna eadar-aghaidh gretap leis an t-ainm grelan1 a chuir ri router an fhrithealaiche, a chaidh a chuir ris an drochaid br-lan cuideachd.
Tha a h-uile dad ag obair. A-nis faodaidh tu an co-chruinneachadh gretap a chuir ann an fèin-luchdachadh. Airson seo:
Chuir sinn na loidhnichean sin ann an /etc/rc.local air an router ann an àros 2:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
Chuir sinn seo ri /etc/rc.local air an router ann an àros 3:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
Agus air router an fhrithealaiche:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1
Às deidh dhomh na routers teachdaiche ath-thòiseachadh, lorg mi airson adhbhar air choireigin nach do cheangail iad ris an fhrithealaiche. A’ ceangal ris an SSH aca (gu fortanach, bha mi air sshtunnel a dhealbhadh roimhe seo airson seo), chaidh a lorg gu bheil WireGuard airson adhbhar air choireigin a’ cruthachadh slighe airson a’ phuing crìochnachaidh, fhad ‘s a bha e ceàrr. Mar sin, airson 192.168.30.2, chaidh an clàr slighe a shònrachadh anns a’ chlàr slighe tron eadar-aghaidh pppoe-wan, is e sin, tron eadar-lìn, ged a bu chòir an t-slighe thuige a bhith air a stiùireadh tron eadar-aghaidh wg0. Às deidh an t-slighe seo a dhubhadh às, chaidh an ceangal ath-nuadhachadh. Cha b’ urrainn dhomh stiùireadh a lorg an àite sam bith air mar a bheireadh tu air WireGuard gun a bhith a’ cruthachadh nan slighean sin. A bharrachd air an sin, cha do thuig mi eadhon an e feart de OpenWRT a tha seo, no de WireGuard fhèin. Gun a bhith a 'dèiligeadh ris an duilgheadas seo airson ùine mhòr, chuir mi ris an dà routers ann an sgriobt air a lùbadh le timer, loidhne a chuir às don t-slighe seo:
route del 192.168.30.2
A 'togail suas
Chan eil mi fhathast air diùltadh iomlan de OpenVPN a choileanadh, oir uaireannan feumaidh mi ceangal ri lìonra ùr bho laptop no fòn, agus mar as trice tha e do-dhèanta inneal gretap a stèidheachadh orra, ach a dh’ aindeoin seo, fhuair mi buannachd ann an gluasad dàta. chan eil astar eadar flataichean agus, mar eisimpleir, a’ cleachdadh VNC mì-ghoireasach tuilleadh. Lùghdaich ping beagan, ach dh’ fhàs e nas seasmhaiche:
Nuair a bhios tu a’ cleachdadh OpenVPN:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms
Nuair a bhios tu a’ cleachdadh WireGuard:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms
Tha e gu ìre mhòr fo bhuaidh ping àrd gu VPS a tha timcheall air 61.5ms
Ach, tha an astar air a dhol suas gu mòr. Mar sin, ann an àros le router-server, tha astar ceangail eadar-lìn agam de 30 Mbps, agus ann an àrosan eile, 5 Mbps. Aig an aon àm, fhad 'sa bha mi a' cleachdadh OpenVPN, cha b 'urrainn dhomh ìre gluasad dàta a choileanadh eadar lìonraidhean nas motha na 3,8 Mbps a rèir iperf, fhad' sa bha WireGuard "ga phumpadh" suas chun an aon 5 Mbps.
rèiteachadh WireGuard air VPS[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>
[Peer]
PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_1_МС>
AllowedIPs = 192.168.30.2/32
[Peer]
PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2>
AllowedIPs = 192.168.30.3/32
[Peer]
PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3>
AllowedIPs = 192.168.30.4/32
rèiteachadh WireGuard air MS (air a chur ri /etc/config/network)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.2/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option route_allowed_ips '1'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - сервер
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option listen_port '51821'
list addresses '192.168.31.1/24'
option auto '1'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
list allowed_ips '192.168.31.2'
config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
list allowed_ips '192.168.31.3'
rèiteachadh WireGuard air MK2 (air a chur ri /etc/config/network)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.3/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - клиент
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
list addresses '192.168.31.2/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
rèiteachadh WireGuard air MK3 (air a chur ri /etc/config/network)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.4/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - клиент
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
list addresses '192.168.31.3/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
Anns na rèiteachaidhean a chaidh a mhìneachadh airson an dàrna ìre VPN, bidh mi a’ sònrachadh port 51821 gu teachdaichean WireGuard. Gu teòiridheach, chan eil seo riatanach, oir stèidhichidh an neach-dèiligidh ceangal bho phort neo-phrìobhaideach sam bith an-asgaidh, ach rinn mi e gus am bi a h-uile ceangal a-steach Faodar a dhiùltadh air eadar-aghaidh wg0 de gach router, ach a-mhàin ceanglaichean UDP a tha a’ tighinn a-steach air port 51821.
Tha mi an dòchas gum bi an artaigil feumail do chuideigin.
PS Cuideachd, tha mi airson mo sgriobt a cho-roinn a chuireas fios PUSH thugam chun fhòn agam san tagradh WirePusher nuair a nochdas inneal ùr air an lìonra agam. Seo ceangal dhan sgriobt: .
ÙRACHADH: rèiteachadh frithealaiche OpenVPN agus teachdaichean
Am frithealaiche OpenVPN
client-to-client
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key
dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzoNeach-dèiligidh OpenVPN
client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind
ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem
comp-lzo
persist-tun
persist-key
verb 3
Chleachd mi easy-rsa airson teisteanasan a ghineadh.
Source: www.habr.com