加载中…
个人资料
看看
看看
  • 博客等级:
  • 博客积分:0
  • 博客访问:30,798
  • 关注人气:1
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

OpenVPN使用1

(2007-01-29 11:38:45)
分类: OpenVPN

OpenVPN 2.0.7 Win32-MinGW [SSL] [LZO] 2006年4月12日

一般选项:
--config file   : 从file中读取配置选项.
--help          : 显示选项.
--version       : 显示版权和版本信息.

隧道选项:
--local host    : 本地主机名或IP地址.
--remote host [port] : 远端主机名或IP地址.
--remote-random : 如果指定了多个--remote选项,从中随机选取一个.
--mode m        : 主模式, m = 'p2p' (默认, 点-到-点) 或者'server'.
--proto p       : 使用协议p和对端通信,
                  p = udp (默认), tcp-server, 或tcp-client
--connect-retry n : 对--proto tcp-client, 连接重试之前等待的秒数(默认值-5)
--http-proxy s p [up] [auth] : 通过在地址s和端口p的HTTP代理连接远端主机。
                  如果代理要求认证,up是包含用户名/密码的文件,用户名和密码要在
                  两行上, 或者是'stdin'则从控制台输入。如果代理需要NTLM认证则
                  添加auth='ntlm'.
--http-proxy-retry     : HTTP代理出错时总是重试。
--http-proxy-timeout n : 代理超时,秒,默认-5.
--http-proxy-option type [parm] : 设置HTTP代理的扩展选项.
                                  重复使用设置多个选项.
                  VERSION 版本号(默认=1.0)
                  AGENT 用户代理
--socks-proxy s [p]: 通过在地址s端口p的Socks5代理连接远端主机(默认port=1080).
--socks-proxy-retry : Socks代理出错时总是重试。
--resolv-retry n: 如果--remote的主机名解析失败,重试n秒(默认是禁止的),
                  设置n="infinite"则无限重试。
--float         : 允许远端改变它的IP 地址/端口.比如通过DHCP(如果没有使用
                  --remote, 则默认使用这一项).
--ipchange cmd  : 在远端IP地址初始设置或改变时执行shell命令cmd.
                  -- cmd ip地址 端口号
--port port     : 本地和远端的TCP/UDP端口号
--lport port    : 本地TCP/UDP端口(默认值=1194).
--rport port    : 远端TCP/UDP端口(默认值=1194).
--nobind        : 不绑定到本地地址和端口.
--dev tunX|tapX : tun/tap设备(对于动态设备来说可以忽略X.
--dev-type dt   : 使用的设备类型(dt = tun 或 tap)
                  仅在用--dev使用tun/tap设备时没有使用"tun"或"tap".
--dev-node node : 明确设置设备节点,而不是使用
                  /dev/net/tun, /dev/tun, /dev/tap, 等.
--tun-ipv6      : 使tun连接能够转发IPv6包。
--ifconfig l rn : TUN: 配置设备使用IP地址l作为本地端点rn作为远端端点.
                  l和rn在对端应当互换. l和rn应当是两端使用的子网之外的
                  地址
                  TAP: 配置设备使用IP地址l作为本地端点rn作为子网掩码。
--ifconfig-noexec : 并不执行ifconfig/netsh命令, 而是通过环境(变量?)将
                    --ifconfig的参数传递给脚本.
--ifconfig-nowarn : 如果这边的--ifconfig选项与另一边的不匹配并不告警.
--route network [netmask] [gateway] [metric] :
                  连接建立后将路由添加到路由表.可以指定多个路由.
                  默认子网掩码: 255.255.255.255
                  默认网关: 从--route-gateway 或 --ifconfig获得
                  通过保留空白或者设置为"nil"来使用默认值。
--route-gateway gw : 指定--route使用的默认网关.
--route-delay n [w] : 连接建立后等待n秒后添加路由(可以是0). 如果没有指定,
                  tun/tap打开后就立即添加路由. 在Windows下,为TUN/TAP适配器
                  连接等待w秒。
--route-up cmd  : 路由添加后执行shell命令cmd.
--route-noexec  : 不自动添加路由. 相反使用环境变量向--route-up脚本传递路由.
--redirect-gateway [flags]: (试验) 自动执行路由命令重定向所有出去的IP包为
                  通过VPN. 如果OpenVPN服务器通过同一个子网直接连接,添加
                  'local'标志,比如WiFi. 添加'def1'标志设置默认路由使用
                  0.0.0.0/1和128.0.0.0/1而不是0.0.0.0/0.
--setenv name value : 设置传递给脚本的用户环境变量。
--shaper n      : 将向对端的输出限制为每秒n个字节。
--keepalive n m : 在服务器模式下设置超时。每n秒发送一个ping包,
                  如果在m秒内没有收到ping包,则重启。
--inactive n    : 在tun/tap设备不活跃n秒后退出。
--ping-exit n   : 如果在n秒后没有收到远端的ping包则退出。
--ping-restart n: 如果在n秒后没有收到远端的ping包则重启。
--ping-timer-rem: 仅在有远端地址时运行--ping-exit/--ping-restart定时器.
--ping n        : 每n秒通过TCP/UDP端口ping对端一次。
--fast-io       : (试验) 优化TUN/TAP/UDP写操作.
--remap-usr1 s  : 收到SIGUSR1信号后,将信号映射为(s='SIGHUP' 或 'SIGTERM').
--persist-tun   : 在SIGUSR1或者--ping-restart时保持tun/tap设备打开。
--persist-remote-ip : 在SIGUSR1或者--ping-restart时保持远端IP地址。
--persist-local-ip  : 在SIGUSR1或者--ping-restart时保持本地IP地址。
--persist-key   : 在SIGUSR1或者--ping-restart时不重新读取key文件。
--tun-mtu n     : 将tun/tap设备的MTU设置为n, 并且从中获得(derive)
                  TCP/UDP MTU (默认值=1500).
--tun-mtu-extra n : 在读取tun/tap设备时返回的字节数最多比tun-mtu多n个字节,
                  (默认值 TUN=0 TAP=32).
--link-mtu n    : 将TCP/UDP设备的MTU设置为n,并且tun的MTU也从其中获得(derive).
--mtu-disc type : 在TCP/UDP通道上是否做Path MTU 发现?
                  'no'    -- 从来不发送DF (Don't Fragment) 帧
                  'maybe' -- 使用 per-route 提示
                  'yes'   -- 总是 DF (Don't Fragment)
--mtu-test      : 根据经验衡量和报告MTU.
--fragment max  : 使能内部数据报分段,从而没有大于max字节的UDP包发送。
                  每个数据报加上4字节的的开销。
--mssfix [n]    : 设置TCP MSS的上部边界, 默认值 = tun-mtu
                  或 --fragment max, 两者中较小的一个.
--sndbuf size   : 设置TCP/UDP发送缓冲区的大小。
--rcvbuf size   : 设置TCP/UDP接收缓冲区的大小。
--txqueuelen n  : 将tun/tap 的发送队列长度设置为n (Linux).
--mlock         : 禁止分页--确保密钥和隧道数据不会写入磁盘。
--up cmd        : tun设备成功打开后将要执行的命令cmd.
                  执行为: cmd tun/tap-dev tun-mtu link-mtu \
                              ifconfig-local-ip ifconfig-remote-ip
                  (pre --user 或者 --group UID/GID change)
--up-delay      : 延迟 tun/tap 的打开并且可能还有--up 脚本的执行。
                  直到和对端的TCP/UDP连接建立。
--down cmd      : tun设备关闭后执行cmd命令。
                  (post --user/--group UID/GID change 和/或 --chroot)
                  (script parameters are same as --up option)
--down-pre      : TUN/TAP设备关闭之前调用--down cmd/script.
--up-restart    : 重启时执行up/down脚本, 包括那些由--ping-restart或
                  SIGUSR1引起的重启.
--user user     : 初始化后将UID设置为user.
--group group   : 初始化后将GID设置为group.
--chroot dir    : 初始化后将Chroot 到这个目录.
--cd dir        : 初始化前进到这一目录。
--daemon [name] : 初始化后成为一个Become.
                  可选的'name'参数作为程序名传递给系统日志(system logger).
--syslog [name] : 输出到系统日志(syslog), 但是不成为daemon.
                  'name'参数和上面的--daemon意义相同。
--inetd [name] ['wait'|'nowait'] : 运行为一个inetd或xinetd服务器.
                  'name'参数和上面的--daemon意义相同。
--log file      : 将日志输出到文件file, 文件file在打开时被创建/截尾.
--log-append file : 将日志追加到文件file, file如果不存在的话则创建它。
--suppress-timestamps : 不向stdout/stderr输出时间戳.
--writepid file : 将主进程ID写入文件file.
--nice n        : 改变进程的优先级(>0 = 低, <0 = 高).
--echo [parms ...] : 将参数回显到日志。
--verb n        : 将输出冗余级别设置为 n (默认值=1):
                  (推荐使用级别3).
                : 0 -- 仅输出致命错误
                : 1 -- 启动信息 + 连接初始化信息 +
                       非致命的加密和网络错误
                : 2,3 -- 显示TLS协商和路由信息
                : 4 -- 显示参数
                : 5 -- 对每一个从TCP/UDP(caps)或tun/tap(lc)收到或发送的包在
                       在控制台上显示'RrWw'字符。
                : 6 to 11 -- 冗余信息递增的调试消息。
--mute n        : 最多记录n条相同类别的连续信息.
--status file n : 每n分钟向文件file写一次操作信息。
--status-version [n] : 选择状态文件模式版本号。
                  目前, n 可以是 1 或 2 (默认值=1).
--disable-occ   : 禁止两端选项一致性检查(options consistency check).
--gremlin mask  : 特别加强(Special stress)测试模式(仅仅为了测试).
--comp-lzo      : 使用快速LZO压缩-- 对未压缩的每个数据包可能增加一个字节。
--comp-noadapt  : 使用--comp-lzo时,不使用自适应(adaptive)压缩。
--management ip port [pass] : 使ip:port上的一个TCP服务器处理远程管理.
                  pass是一个口令文件, 如果是'stdin'则从控制台输入口令。
--management-query-passwords : 私钥和auth-user-pass口令的查询管理通道。
--management-hold : 将OpenVPN启动为冬眠模式,直到一个管理接口客户端明确启动它。
--management-log-cache n : 为管理通道暂存n日志文件历史。
--plugin m [str]: 装载插件n将str作为参数传递给它的初始化函数。

多客户的服务端选项(使用--mode server时):
--server network netmask : 服务模式
--server-bridge IP netmask pool-start-IP pool-end-IP : 以太网桥服务模式。
--push "option" : 将一个配置文件选项发回对端执行,对端在配置文件须使用
                  --pull选项。
--push-reset    : 对某待定客户端不继承全局push列表。
--ifconfig-pool start-IP end-IP [netmask] : 为给客户端动态分配地址预留一个
                  地址池。
--ifconfig-pool-linear : 在tun模式时使用单一地址而不是/30子网。和Windows
                  客户端不兼容。
--ifconfig-pool-persist file [seconds] : Persist/unpersist ifconfig-pool
                  数据到file文件, 间隔seconds (默认值=600).
                  如果 seconds=0, 文件file被作为只读文件。
--ifconfig-push local remote-netmask : 给远端Push一个ifconfig选项,
                  覆盖 --ifconfig-pool 动态分配.
                  仅在 client-specific 配置文件中有效.
--iroute network [netmask] : Route subnet to client.
                  仅建立内部路由。
                  仅在 client-specific 配置文件中有效.
--disable       : 禁止客户端.
                  仅在 client-specific 配置文件中有效.
--client-cert-not-required : 不需要客户端证书, 客户端使用用户名/密码认证。
--username-as-common-name  : 用于 auth-user-pass 认证, 使用授权的用户名作为
                  common name, 而不使用客户端证书中的common name.
--auth-user-pass-verify cmd method: 查询客户端的用户名/密码,运行脚本cmd
                  来验证,如果method='via-env'通过环境变量传递用户名/密码,
                  如果method='via-file', 通过临时文件传递用户名/密码.
--client-to-client : 在内部路由 client-to-client 包.
--duplicate-cn  : 允许多个客户端使用相同的common name同时连接。
--client-connect cmd : 当客户连接时运行脚本cmd.
--client-disconnect cmd : 当客户连接断开时运行脚本cmd.
--client-config-dir dir : 用户(custom)客户端配置文件目录。
--ccd-exclusive : 拒绝连接直到找到用户(custom)客户端配置。
--tmp-dir dir   : 临时文件目录, 用于 --client-connect 返回文件.
--hash-size r v : 设置 real address hash 表的大小为r, 虚拟地址表大小为v.
--bcast-buffers n : 分配 n 个广播缓冲区.
--tcp-queue-limit n : 排队的TCP输出包的最大数目。
--learn-address cmd : 运行cmd脚本验证客户虚拟地址。
--connect-freq n s : 每s秒允许最多n个新连接.
--max-clients n : 最多允许n个同时连接的客户端。
--max-routes-per-client n : 每个客户端最多允许n个内部路由。

客户端选项(连接多客户服务端时):
--client         : 客户端模式。
--auth-user-pass [up] : 服务端使用用户名/密码认证客户端.
                  up 是一个用户各/密码各占一行的文件。
                  如果没有指定up,则需从控制台输入用户名/密码。
--pull           : 从对端接受配置文件选项就象它们是本地配置文件的一部分.
                  当连接到一个'--mode server' 远端主机时必须使用这一选项.
--auth-retry t  : 怎样处理认证失败.  t的值可以是
                  none (默认), interact, 或 nointeract.
--explicit-exit-notify [n] : 退出/重启时,向服务端/远端发送exit信号。
                  n = 重试次数, 默认值=1.

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
后一篇:OpenVPN使用2
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

    后一篇 >OpenVPN使用2
      

    新浪BLOG意见反馈留言板 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有