server端 ：

local a.b.c.d
#服务器端IP
port 1194
#服务器端口,可以设多个,如 port 1194 1195 1196
proto tcp
#使用tcp 协议,默认使用udp协议.
dev tun
# dev tun为ip路由通道,dev tap为以太网通道,dev tap0为以太网桥通道.
ca ca.crt
# 指明ca证书,设置根证书,server和 client 使用同一证书.
cert server.crt
#设置cert证书,服务器上要有此证书,每个客户端要有自己不同的证书.
key server.key
# 设置私有key, 服务器上要有此key,每个客户端要有自己不同的key.
dh dh1024.pem
#用于hash的文件.
server 192.168.100.0 255.255.255.0
#客户端拨入服务器分配IP的地址池
ifconfig-pool-persist ipp.txt
#设定当服务重启以后,客户端可以拿到之前的IP地址.也就是DHCP绑定.
#push "redirect-gateway"
#设置客户端默认网关为VPN,这样会增大VPN网关上的流量.没有意义.通常不用
push "route 10.10.0.0 255.255.0.0"
#push "route 10.136.0.0 255.255.0.0"
 
#推送网段10.15.0.0 的路由策略到客户端的VPN上
push "dhcp-option DNS 10.0.0.101"
#推送客户端DNS
push "dhcp-option WINS 10.0.0.101"
#推送客户端WINS设置
client-to-client
#VPN客户端间可以互访.
keepalive 10 120
#检查连接状态,10秒ping一次,120秒无响应就断开.
comp-lzo
#支持压缩
user nobody
group nobody
#openvpn初始化以后以nobody 方式运行.
persist-key
#VPN服务重启后重读key
persist-tun
#VPN服务器重启后保持之前客户端的连接.
status /var/log/openvpn-status.log
#设置日志位置.
verb 3
#设置日志等级,默认3 ,若设置成4则为通用模式,只记录一般使用情况.
mute 20
#同样的日志记录重启n次后,则忽略.
duplicate-cn
#允许一份证书多个客户端使用.
max-clients 100
 
#下面的三行意思是使用linux系统自身的身份验证机制
plugin /usr/lib/openvpn/plugin/lib/openvpn-auth-pam.so login
client-cert-not-required
username-as-common-name

用户端：

#声明是客户端
client

#声明这是客户端配置文件

dev tun

#使用和服务端相同的设备.
proto tcp

#使用tcp协议

remote  172.16.100.137  1194

#远程服务器地址及端口

persist-key

persist-tun 
#客户端重启程序时,尽量保持之前的状态,如不重新读key.

#remote-random

#从remote 给出的服务器列表中,随机选择一个,如果不用此参数将顺序尝试连接.

ca ca.crt

# 根证书位置,服务器端和客户端用的是同一个.
;cert client.crt 
;key client.key

#设置客户端的证书和key.
ns-cert-type server

#验证服务端证书的可靠性.需要服务器端在生成证书时指定nsCertType类型.
comp-lzo

#支持压缩
verb 3

#指定日志的详细程序.默认3
#redirect-gateway def1

#设置VPN为默认网关,所有流量都走VPN端口.

#resolv-retry infinite

#持续解析服务器IP地址,如果用IP地址连接,则不需要此项.

nobind

#客户绑定特别端口.

user nobody

group nobody

#初始化完成后,降级用户和组.

#http-proxy

#穿越代理连接vpn服务器,格式 http-proxy [proxy server] [proxy port #]

# http-proxy-retry

#proxy 尝试连接重试次数.

#mute-replay-warnings

#忽略重启的警告.

#激活登陆认证方式

auth-user-pass