open***的默认配置文件都在源码包的../open***-2.2.2/sample-config-files/目录下

下面是是该目录下服务端配置文件server.conf配置文件的介绍：

#################################################
#针对多客户端的Open××× 2.0 的服务器端配置文件示例

#本文件用于多客户端<->单服务器端的Open×××服务器端配置

#Open×××也支持单机<->单机的配置(更多信息请查看网站上的示例页面)

#该配置支持Windows或者Linux/BSD系统。此外，在Windows上，记得将路径加上双引号，
#并且使用两个反斜杠，例如："C:\Program Files\Open×××\config\foo.key"
'#' or ';'开头的均为注释内容
#################################################

#Open×××应该监听本机的哪些IP地址？
#该命令是可选的，如果不设置，则默认监听本机的所有IP地址。
;local a.b.c.d

#Open×××应该监听哪个TCP/UDP端口？如果你想在同一台计算机上运行多个Open×××实例，你可以使用不同的端口号来区分它们。 此外，需要在防火墙上开放这些端口。
port 1194

#Open×××使用TCP还是UDP协议? 如果采用HTTP proxy，必须使用TCP协议
;proto tcp
proto udp

#指定Open×××创建的通信隧道类型。
#"dev tun"将会创建一个路由IP隧道，
#"dev tap"将会创建一个以太网隧道。
#如果你是以太网桥接模式，并且提前创建了一个名为"tap0"的与以太网接口进行桥接的虚拟接口，则你可以使用"dev tap0"
#如果想控制×××的访问策略，你必须为TUN/TAP接口创建防火墙规则。
#在非Windows系统中，可以给出明确的单位编号(unit number)，例如"tun0"。
#在Windows中，你也可以使用"dev-node"。
#在多数系统中，除非你部分禁用或者完全禁用了TUN/TAP接口的防火墙，否则×××将不起作用。
;dev tap
dev tun

#如果你想配置多个隧道，你需要用到网络连接面板中TAP-Win32适配器的名称(例如"MyTap")。
#在XP SP2或更高版本的系统中，你可能需要有选择地禁用掉针对TAP适配器的防火墙
#通常情况下，非Windows系统则不需要该指令。
;dev-node MyTap

#设置SSL/TLS根证书(ca)、证书(cert)和私钥(key)。
#每个客户端和服务器端都需要它们各自的证书和私钥文件。
#服务器端和所有的客户端都将使用相同的CA证书文件。
#通过easy-rsa目录下的一系列脚本可以生成所需的证书和私钥。
#记住，服务器端和每个客户端的证书必须使用唯一的Common Name。

#你也可以使用遵循X509标准的任何密钥管理系统来生成证书和私钥。
#Open××× 也支持使用一个PKCS #12格式的密钥文件(详情查看站点手册页面的"pkcs12"指令)
ca ca.crt
cert server.crt
key server.key # 该文件应该保密

#CRL文件的申明，被吊销的证书链，这些证书将无法登录
;crl-verify ***crl.pem

#指定迪菲·赫尔曼参数。
#可以使用如下名称命令生成你的参数：(通常使用../easy-rsa/2.0/build-dh脚本创建)
#openssl dhparam -out dh1024.pem 1024
#如果你使用的是2048位密钥，使用2048替换其中的1024。
dh dh1024.pem

#设置服务器端模式，并提供一个×××子网，以便于从中为客户端分配IP地址。
#在此处的示例中，服务器端自身将占用10.8.0.1，其他的将提供客户端使用。
#如果你使用的是以太网桥接模式，请注释掉该行
server 10.8.0.0 255.255.255.0

#指定用于记录客户端和虚拟IP地址的关联关系的文件。
#当重启Open×××时，再次连接的客户端将分配到与上一次分配相同的虚拟IP地址
ifconfig-pool-persist ipp.txt

#该指令仅针对以太网桥接模式。
#首先，你必须使用操作系统的桥接能力将以太网网卡接口和TAP接口进行桥接。
#然后，你需要手动设置桥接接口的IP地址、子网掩码；
#在这里，我们假设为10.8.0.4和255.255.255.0。
#最后，我们必须指定子网的一个IP范围(例如从10.8.0.50开始，到10.8.0.100结束)，以便于分配给连接的客户端。
#如果你不是以太网桥接模式，直接注释掉这行指令即可。
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

#该指令仅针对使用DHCP代理的以太网桥接模式，
#此时客户端将请求服务器端的DHCP服务器，从而获得分配给它的IP地址和DNS服务器地址。
#在此之前，你也需要先将以太网网卡接口和TAP接口进行桥接。
#注意：该指令仅用于Open×××客户端，并且该客户端的TAP适配器需要绑定到一个DHCP客户端上。
;server-bridge

#推送路由信息到客户端(客户端将会设置这些路由)，以允许客户端能够连接到VNP Server后端的其他私有子网。
#(简而言之，就是允许客户端访问×××服务器所在的其他局域网)
#记住，这些私有子网也要将Open×××客户端的地址池(10.8.0.0/255.255.255.0)反馈回Open×××服务器。
使客户端能访问服务器后面的子网机器
#比如:服务器子网网段是192.168.10.0和192.168.20.0
#你需要在open×××服务器端配置文件中添加下面这两句
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"

#为指定的客户端分配指定的IP地址，或者客户端背后也有一个私有子网也想要访问×××，
#那么你可以针对该客户端的配置文件使用ccd子目录。
#(简而言之，就是允许客户端所在的局域网成员也能够访问×××)
#举个例子：假设有个Common Name为"Thelonious"的客户端背后也有一个小型子网想要连接到×××，该子网为192.168.40.128/255.255.255.248。
#首先，你需要去掉下面两行指令的注释：
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
#然后然后在服务器端ccd目录下创建一个文件,文件名是客户端的公共名，即ccd/Thelonious（Thelonious必须为服务端的Common Name），该文件的内容为：
iroute 192.168.40.128 255.255.255.248

#这样客户端所在的局域网就可以访问×××了。
#注意，这个指令只能在你是基于路由、而不是基于桥接的模式下才能生效。
#比如，你使用了"dev tun"和"server"指令。

#再举个例子：假设你想给Thelonious分配一个固定的IP地址10.9.0.1。
#首先，你需要去掉下面两行指令的注释：
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
#然后在文件ccd/Thelonious中添加如下指令：
iroute 10.9.0.0 255.255.255.252

#如果你想要为不同群组的客户端启用不同的防火墙访问策略，你可以使用如下两种方法：
#(1)运行多个Open×××守护进程，每个进程对应一个群组，并为每个进程(群组)启用适当的防火墙规则。
#(2) (进阶)创建一个脚本来动态地修改响应于来自不同客户的防火墙规则。
#关于learn-address脚本的更多信息请参考官方手册页面。
;learn-address ./script

#如果启用该指令，所有客户端的默认网关都将重定向到×××，这将导致诸如web浏览器、DNS查询等所有客户端流量都经过×××（实现fanqiang功能需要开启）
#(为确保能正常工作，Open×××服务器所在计算机可能需要在TUN/TAP接口与以太网之间使用NAT或桥接技术进行连接)
;push "redirect-gateway def1 bypass-dhcp"

#某些具体的Windows网络设置可以被推送到客户端（fanqiang时需要配置），例如DNS或WINS服务器地址。
#下列地址来自opendns.com提供的Public DNS 服务器。
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

#去掉该指令的注释将允许不同的客户端之间相互"可见"(允许客户端之间互相访问)。
#默认情况下，客户端只能"看见"服务器。为了确保客户端只能看见服务器，你还可以在服务器端的TUN/TAP接口上设置适当的防火墙规则。
;client-to-client

#如果多个客户端可能使用相同的证书/私钥文件或Common Name进行连接，那么你可以取消该指令的注释。
#建议该指令仅用于测试目的。对于生产使用环境而言，每个客户端都应该拥有自己的证书和私钥。
#如果你没有为每个客户端分别生成Common Name唯一的证书/私钥，你可以取消该行的注释(但不推荐这样做)。
;duplicate-cn

#keepalive指令将导致类似于ping命令的消息被来回发送，以便于服务器端和客户端知道对方何时被关闭。
#××× Server 端每10秒钟ping客户端一次，如果120秒内都没有收到客户端的回复，则表示远程连接已经关闭。
keepalive 10 120

#出于SSL/TLS之外更多的安全考虑，创建一个"HMAC 防火墙"可以帮助抵御DoS***和UDP端口淹没***。
#你可以使用以下命令来生成：
#open*** --genkey --secret ta.key
#服务器和每个客户端都需要拥有该密钥的一个拷贝。
#第二个参数在服务器端应该为'0'，在客户端应该为'1'。
;tls-auth ta.key 0 # 该文件是加密的

#选择一个密码加密算法。
#该配置项也必须复制到每个客户端配置文件中。
;cipher BF-CBC # Blowfish (默认)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES

#在×××连接上启用压缩。
#如果你在此处启用了该指令，那么也应该在每个客户端配置文件中启用它。
comp-lzo

#允许并发连接的客户端的最大数量
;max-clients 100

#在完成初始化工作之后，降低Open×××守护进程的权限提升安全性能
#该指令仅限于非Windows系统中使用
;user nobody
;group nobody

#持久化选项可以尽量避免访问那些在重启之后由于用户权限降低而无法访问的某些资源。
persist-key
persist-tun

#输出一个简短的状态文件，用于显示当前的连接状态，该文件每分钟都会清空并重写一次。
status open***-status.log

#默认情况下，日志消息将写入rsyslog(在Windows系统中，如果以服务方式运行，日志消息将写入Open×××安装目录的log文件夹中)。
#可以使用log或者log-append来改变这种默认设置。
#"log"方式在每次启动时都会清空之前的日志文件。
#"log-append"这是在之前的日志内容后进行追加。
#你可以使用两种方式之一(但不要同时使用)。
;log open***.log
;log-append open***.log

#为日志文件设置适当的冗余级别(0~9)。冗余级别越高，输出的信息越详细。
#0 表示静默运行，只记录致命错误。
#4 表示合理的常规用法。
#5 和 6 可以帮助调试连接错误。
#9 表示极度冗余，输出非常详细的日志信息。
verb 3

#重复信息的沉默度。
#相同类别的信息只有前20条会输出到日志文件中。
;mute 20