InícioRede

Parâmetros de Configuração - Arquivo OVPN

Parâmetros para servidor e cliente

mode server :: introduzido a partir da versão 2.0. Nas versões anteriores, tínhamos apenas o modo P2P (point-to-point). Aqui ele é utilizado para tornar o nosso servidor um servidor multi-client, é obrigatório também, quando utilizamos alguns parâmetros, como "ifconfig-pool".


tls-server :: habilita conexões SSL/TLS e assume ser o servidor, ajuda a bloquear ataques DDoS e Flooding na porta usada pelo OpenVPN.


local 0.0.0.0 :: IP que o OpenVPN utilizará para conexão externa.


port 5000 :: porta usada pelos clientes para conexão com o servidor, pode ser outra porta que esteja aberta para este tipo de comunicação.


proto udp :: protocolo usado na conexão, pode ser UDP ou TCP.


dev tun :: dispositivo que será criado, pode ser TAP ou TUN. O TAP permite propagação de broadcast NetBIOS (utilize este se a rede for Microsoft). O TUN, por outro lado, não permite, seria necessário possuir um servidor Windows para localizar as máquinas Windows pelo nome.


tun-mtu 1500 :: define o tamanho máximo em bytes que podem ser enviados.


tun-mtu-extra 32 :: este parâmetro controla o dimensionamento de buffer do OpenVPN, para que não haja sobrecarga de transmissão associado ao uso de um valor maior.


client-cert-not-required :: não exige o certificado do cliente.


topology net30 :: topologia utilizada pelo OpenVPN. "net30" é o padrão atual, que é apoiado pelas atuais versões. Isso informa ao servidor OpenVPN para distribuir 30 sub-redes para conectar clientes. A opção "p2p" define um ponto-a-ponto semântico. Este foi previamente conhecido na versão 2 "ifconfig-pool-linear". O problema com esta opção, é que ela não funciona com clientes Windows, por isso a sua aplicabilidade foi limitada.


mssfix 1400 :: utilizado para melhorar aplicações remotas.


user nobody :: usuário que o OpenVPN vai utilizar.


group nogroup :: grupo que o OpenVPN vai utilizar.


client-config-dir /etc/openvpn/clientes :: arquivo com as configurações dos clientes.


secret chave.key :: define a localização do arquivo, onde é marcada a chave da autenticação da VPN.


ca ca.crt :: define a localização do certificado de autoridade, este arquivo será utilizado pelas máquinas clientes.


cert matriz.crt :: define a localização do certificado do servidor. Deverá ser gerado um para cada cliente.


key matriz.key :: define a localização da chave de criptografia do servidor. Deverá ser gerada uma para cada cliente.


dh dh1024.pem :: define os parâmetros Diffie-Hellman, criptografia para troca de chaves.


tls-auth ta.key 0 :: define a localização do arquivo de chave compartilhada usada pelo TLS server, é uma camada a mais de segurança a ser usada, que habilita o controle de conexões. Opção 0 para server e 1 para client.


duplicate-cn :: este parâmetro permite o uso de um mesmo certificado por duas conexões.


cipher AES-128-CBC :: tipo de criptografia usada.


persist-key :: garante a disponibilidade das chaves, caso o serviço da VPN seja reiniciado.


persist-tun :: garante a disponibilidade da interface TUN caso a VPN seja reiniciada.


server 10.0.0.0 255.255.255.0 :: rede que será utilizada pelo OpenVPN, caso seja utilizado e não seja definido um IP para tun, o servidor irá utilizar o primeiro IP.


ifconfig 10.0.0.1 255.255.255.0 :: define um IP para a interface tun.


push "route 192.168.0.0 255.255.255.0 10.0.0.1&::8243; :: faz o roteamento do IP local para o IP do túnel. Utilizar apenas em caso de redes diferentes, o parâmetro "push" força o cliente a pegar a configuração.


push "dhcp-option DNS 192.168.0.1" :: IP do servidor DNS, o parâmetro "push" força o cliente a pegar a configuração.


push "dhcp-option WINS 192.168.0.1" :: IP do servidor WINS, para redes que contenham servidores Windows, o parâmetro "push" força o cliente a pegar a configuração.


route 10.0.0.0 255.255.255.0 :: roteamento do cliente.


ifconfig-pool 10.0.0.2 10.0.0.100 255.255.255.0 :: define o range de endereços IPs que serão utilizados pelas conexões dos clientes. Se usado o valor server, não precisa deste parâmetro.


ping 10 :: envia um pacote ping a cada 10 segundos. Este parâmetro deve ser colocado no servidor e no cliente. O ping é criptografado quanto utilizado TLS.


ping-restart 120 :: envia um sinal SIGUSR1 restart após o tempo determinado. Necessário apenas no servidor.


ping-timer-rem :: habilita o ping conforme programado no parâmetro keepalive.


keepalive 10 120 :: o primeiro valor é o intervalo de ping, o segundo se refere ao tempo em que a VPN é reiniciada. Este parâmetro monitora a conexão entre servidor e cliente.


reneg-sec 0 :: define o tempo em segundos que será refeita a conexão. Recomendável deixar em "0" para desabilitar, assim, o cliente não tem que ficar digitando a senha a todo momento.


client-to-client :: permite que os clientes se comuniquem entre si sem precisar de um outro túnel.


ifconfig-pool-persist ipp.txt :: define o arquivo onde serão armazenados os IPs utilizados pelos clientes. Assim, os IPs serão sempre os mesmos.


client-config-dir ccd :: define onde ficarão as configurações individuais de cada cliente.


max-clients 10 :: define um número máximo de clientes conectados simultaneamente.


auth-nocache :: não efetua cache de autenticação.


fast-io :: modo UDP sem bloqueio.


mlock :: otimização no uso da memória.


inactive 3600 :: define um tempo em segundos para que as tentativas de conexão sejam feitas.


float :: utilizado em caso de IP dinâmico, o túnel continua aberto mesmo que o IP seja alterado.


comp-lzo :: habilita compressão no link VPN via LZO.


status /var/log/openvpn-status.log :: define o local onde será armazenado o log de status das conexões


log /var/log/openvpn.log :: local para onde o verb irá enviar a saída.


log-append /var/log/openvpn.log :: local onde está armazenado o log da VPN.


verb 6 :: verbose mode, define o nível de log, os valores podem ir de 0 até 11:

  • 0 :: silencioso, só gera log de erros fatais.
  • 3 :: razoável, recomendável.
  • 56 :: ajudam a resolver problemas de conexões, traz caracteres W e R.
  • 9 para cima :: utilizado para descobrir erros quando a VPN não sobe.

mute 20 :: desabilita mensagens de log repetidas.


Parâmetros exclusivos para cliente

client :: especifica que esta configuração é de um cliente.


ns-cert-type server :: informa que o certificado é autoassinado.


tls-client :: habilita conexões TLS.


nobind :: não especifica uma porta local para o cliente se conectar.


remote 200.200.200.200 :: IP fixo do servidor ao qual deseja se conectar.


pull :: parâmetro utilizado para puxar as configurações do servidor.


remote-cert-tls server :: certificado remoto com protocolo TLS utilizado para permitir acesso do cliente ao servidor.


resolv-retry infinite :: define se o cliente continuará a tentar a conexão ou não com o servidor. Valor "0" para desabilitar.


Atualizado em 04/02/2025
Este artigo foi útil?  
Agradecemos sua avaliação.