OpenVPN-Syntax

Aus OpenVPN Wiki

Inhaltsverzeichnis 1 Einleitung 2 Allgemein 3 Server Mode 4 Client Mode 5 Verschlüsselungsoptionen Allgemein 6 TLS Verschlüsselungsoptionen: 7 Information über SSL-Bibliotheken 8 Windowsspezifische Optionen

Einleitung

OpenVPN - Befehle können Sie sowohl in der Komandozeile (z.B. : openvpn --secret client.key) als auch in der Konfig-Datei der VPN-Teilnehmer schreiben. In dieser Anleitung wird davon ausgegangen, dass die Befehle in der Komandozeile verwendet werden. Für die Konfig-Dateien sind die Befehle ohne „--„ anzugeben. Beachte: nicht alle Befehle können in der Konfig-Datei verwenden werden!

Allgemein

--help zeigt alle möglichen Befehle an. Ist nur in der Komandozeile zu verwenden.

--config file lädt die Konfig-Datei file. Wenn es der einzige Befehl ist, der mit OpenVPN ausgeführt werden soll, kann „--config“ weggelassen werden. Der Befehl ist nur in der Komandozeile zu verwenden. Unter „file“ kann dann entweder nur der Name der Konfig-Datei stehen, wenn OpenVPN aus dem Verzeichnis gestartet werden soll, wo die Konfig-Datei ist, oder der genaue Pfad zu dieser Datei. Bei der Pfadangabe ist folgendes zu beachten: Der Pfad in den Klammern („“) wird dann verwendet, wenn es in der Pfadangabe ein Leerzeichen, # - Zeichen oder „ ; „ - Zeichen vorkommen. Doppelslash ist unter Windows nicht zu vergessen. z.B. openvpn „c:\\Program Files\\OpenVPN\\mein#Verzeichnis\\server.ovpn“

--mode m gibt an, in welchem mode OpenVPN gestartet werden soll. Wenn es nicht definiert ist, wird dann OpenVPN im „point-to-point mode“ gestartet. Seit der 2.0-Version unterstütz OpenVPN „server“ mode, welches ermöglicht einen multi-clients-server zu konfigurieren.

--local host OpenVPN lauscht an einer bestimmten IP-Adresse. Wenn der Server oder der Client mehrere IP-Adressen haben, ist es sinnvoller zu definieren, an welchen IP-Adressen gelauscht werden soll. Z.B. hat der Server mehrere öffentlichen IP-Adresse, mit denen er über das Internet zu erreichen ist. Ein zweites Beispiel: Ein LapTop kann sowohl über LAN ins Internet gehen als auch über WLAN.

--remote host [port] OpenVPN verbindet den Klienten zum Server host. In der Konfig-Datei von den Klienten können mehrere Server definiert sein. Der Klient wird allerdings nur zu einem Server verbunden. Unter host kann sowohl eine IP-Adresse stehen, als auch ein DNS-Namen. Beispiel: --remote 192.168.0.1 oder --remote openvpn.dyndns.org

Wenn es mehrere Server definiert werden sollen, soll dann der Befehl „--remote-random“ in der Konfig-Datei stehen, der OpenVPN sagt, dass ein Server aus der Liste zufällig ausgewählt werden soll. Beispiel: --remote 192.168.0.1 --remote openvpn.dyndns.org --remote-random

Nach host kann auch der Port definiert sein, über den OpenVPN die IP-Pakete verschicken soll: --remote 192.168.0.1:5000

--remote-random es wird nur zu einem Server aus der Liste zufällig verbunden. (siehe --remote)

--proto p Das Protokol p wird für die Verbindung benutzt. Unter p kann udp, tcp-server oder tcp-client stehen. OpenVPN ist für UDP optimiert. TCP soll nur dann benutzt werden, wenn es aus irgendwelchen administrativen Gründen nicht geht, UDP zu benutzen. Default-Protokol ist UDP: Wenn „--proto“ nicht definiert ist, dann wird udp benutzt. Der folgender Artikel beschreibt manche Probleme, wenn man den IP-Tunnel über TCP benutzt: http://sites.inka.de/sites/bigred/devel/tcp-tcp.html

--connect-retry n Es wird n-Sekunden lang versuch zu verbinden. (Default-Wert= 5 Sekunden)

--http-proxy server port [authfile] [auth-method] OpenVPN wird den Klienten zu dem definierten Server über einen Proxy „server“ verbinden. Wenn Proxy eine Authentifizierung erfordert kann man „login“ und „passwort“ im authfile angeben. auth-method definiert, welche Authentifizierungsmethode verwenden werden soll. Unter auth-method kann nur „none“, „basic“ oder „ntlm“ stehen.

--http-proxy-retry wird unendlich lang versucht zu dem Proxy zu verbinden.

--http-proxy-timeout n wird n-Sekunden lang versucht zu dem Proxy zu verbinden. (Default-Wert=5 Sekunden)

--socks-proxy server [port] OpenVPN wird den Klienten zu dem definierten Server über einen Socks5 Proxy „server“ über den Port [port] (Default-Wert für den Port= 1080) verbinden.

--socks-proxy-retry wird unendlich lang versucht zu dem Socks5 Proxy zu verbinden.

--resolv-retry n wird n-Sekunden lang versucht zu dem Socks5 Proxy zu verbinden. (Default-Wert=5 Sekunden)

--float erlaubt dem VPN-Partner die IP-Adresse zu ändern

--ipchange cmd ruft das Script cmd auf, wenn sich die IP-Adresse des VPN-Partners geändert hat. Im „server“ mode wird der Befehl nicht benutzt! Anstatt dessen wird --client-connect Script benutzt.

--port port Legt fest, welcher lokale und zu verbindende Port zu benutzen ist. (Momentaner Default-Wert bei IANA = 5000)

--lport port Legt fest, welcher lokale Port zu benutzen ist. (Momentaner Default-Wert bei IANA = 5000)

--rport port Legt fest, welcher zu verbindende Port zu benutzen ist. (Momentaner Default-Wert bei IANA = 5000)

--nobind Die Ports werden dynamisch ausgewählt.

--dev tunX | tapX | null legt fest, welchen Treiber für die virtuelle Netzwerkkarte zu benutzen ist. Man kann entweder TUN-Treiber auf beiden Seiten benutzen oder TAP-Treiber. Zu mischen – TUN-Treiber auf einer Seite und TAP-Treiber auf der andere – führt zu fatal error, da diese Treiber verschiedene Protokolle benutzen: TUN-Treiber benutz „point-to-point“-Protokoll, TAP-Treiber Ethernet-Protokoll. Bei „tunX oder tapX“ kann X für die dynamischen Treiber ausgelassen werden.

--dev-type device-type welchen Typ von TUN/TAP-Treiber benutzen werden soll. device-type kann entweder tap oder tun sein. Der Befehl wird dann verwendet, wenn der Treiber bei „--dev“ nicht mit tap oder tun beginnt.

--tun-ipv6 Unterstützung von IPv6 ist mit OpenVPN natürlich auch möglich. Der Befehl ist mit „--dev tun“ zu verwenden.

--dev-node node definiert noch genauer, welche virtuelle Netzwerkkarte zu verwenden ist. Unter Linux/Unix ist es nicht erforderlich das anzugeben, unter Windows allerdings schon. Unter node steht dann der Name – übrigens freiwählbar – der virtuellen Netzwerkkarte.

--ifconfig l rn legt fest, welche IP-Adresse die VPN-Teilnehmer bekommen sollen. l bedeutet die IP-Adresse des lokalen VPN-Teilnehmers. rn bedeutet für --dev tap die Submaske des Virtuellen Privaten Netzwerkes und für --dev tun die IP-Adresse des zu verbindenden VPN-Teilnehmers.

--ifconfig-noexec der Befehl --ifconfig wird nicht ausgeführt. Anstatt dessen wird ein Script mit einem weiteren Befehl ausgeführt, wo die --ifconfig Parameter definiert werden.

--ifconfig-nowarn OpenVPN ignoriert dann die Fehlermeldung beim Ausführen des Befehls --ifconfig. Siehe dazu den Befehl: --disable-occ Dieser Befehl wird sinnvollerweise dann eingesetzt, wenn z.B. der lokale VPN-Teilnehmer --ifconfig benutzt und der zu verbindende VPN-Teilnehmer nicht.

--route network/IP [netmask] [gateway] [metric] Legt eine Route in ein anderes Netzwerk. Z.B. der VPN-Server soll dann über den VPN-Klienten ins Netzwerk hinter dem VPN-Klienten zugreifen. Siehe dazu: Routing. Optional: netmask die Submaske des anderes Netzwerkes. Default-Wert=255.255.255.255 gateway über welche IP-Adresse soll in dieses Netzwerk gehen. Default-Wert = entweder von --route-gateway oder vom zweiten Parameter des Befehls --ifconfig, wenn --dev tun benutzt wird. metric wie viele Rechner es dazu notwendig sind um in dieses Netzwerk zu kommen.

Beispiel: --route 192.168.1.0 255.255.255.0

--route-gateway gw Spezifiziert den Default-Gateway für den Befehl --route Beispiel: --route-gateway 10.8.0.2 (wobei 10.8.0.2 die virtuelle IP-Adresse des Klienten zum Beispiel)

--route-delay [n] [w] OpenVPN wartet n-Sekunden lang nach dem Tunnelaufbau, bevor eine Route angesetzt wird. Unter Windows gibt es noch eine Option [w] : OpenVPN wartet w-Sekunden lang auf den TUN/TAP-Device, bevor eine Route angesetzt wird.

--route-up cmd ein Script cmd wird ausgeführt, nachdem eine Route angelegt wurde.

--route-noexec OpenVPN setzt keine Route automatisch an. Anstatt dessen wird das Script von --route-up benutzt.

--redirect-gateway (Experementell!!!) OpenVPN legt den gesamten IP-Trafik auf den VPN-Server.

--link-mtu n legt die Größe der UDP-Pakete fest, die zwischen den VPN-Teilnehmern verschickt werden sollen. Benutzen Sie den Befehl nur dann, wenn Sie wirklich wissen, was Sie machen.

--tun-mtu n legt den MTU-Wert fest. Default-Wert = 1500

--tun-mtu-extra n teilt dem VPN-Teilnehmer mit, um wie viel Bytes mehr als der MTU-Wert der lokale VPN-Teilnehmer zurückschicken kann.

--mtu-test um den momentaten MTU-Wert zu erfahren. Wird nur in der Komandozeile verwendet. --fragment max Aktiviert interne Datagram – Fragmentierung, so dass keine UDP-Datagrams verschickt werden, die größer sind als max-Bytes. Der Befehl wird nur mit UDP benutzt!

--mssfix max teilt dem VPN-Partner mit, dass er seine UDP-Pakete auf max beschränken muss. Der Befehl wird nur mit UDP benutzt. Es ist sehr sinnvoll diesen Befehl im Zusammenhang mit dem Befehl --fragment max zu verwenden. Wenn max bei --mssfix nicht angegeben wird, wird als Default-Wert von --fragment max genommen.

Beispiel:--tun-mtu 1500 --fragment 1300 --mssfix

--sndbuf size legt die Größe des Versandpuffers fest. Default-Wert = 65536 bytes

--rcvbuf size legt die Größe des Empfangspuffers fest. Default-Wert = 65536 bytes

--txqueuelen n (Nur unter Linux) legt die Länge der TX-Schlange auf dem TUN/TAP-Device fest. Default-Wert = 100

--shaper n legt die Grenze der Up-Bandbreite auf dem Port fest. n – Bytes per sekonds

--inactive n Falls OpenVPN-Tunnel n-Sekunden lang nicht benutzt wird, wird die OpenVPN-Verbindung geschlossen.

--ping n Falls der OpenVPN-Tunnel n-Sekunden lang nicht benutzt wird, wird ein ping an den VPN-Partner gesendet.

--ping-exit n Falls innerhalb von n Sekunden kein Ping oder Datenpaket vom VPN-Partner emfpangen wurde, wird OpenVPN beendet.

--ping-restart n Falls innerhalb von n Sekunden kein Ping oder Datenpaket vom VPN-Partner empfangen wurde, wird der OpenVPN-Tunnel neu gestartet.

--keepalive n m ist eine Abkürzung für “--ping n --ping-restart m”

--ping-timer-rem der Befehl --ping-exit bzw. --ping-restart wird nur dann ausgeführt, wenn wir eine remote-Adresse haben.

--persist-tun TUN/TAP-Device wird nicht geschlossen und neugestartet, wenn der Befehl --ping-restart ausgeführt werden soll.

--persist-key die Key-Dateien werden nicht neu gelesen, wenn der Befehl --ping-restart ausgeführt werden soll.

--persist-local-ip die virtuelle IP-Adresse des lokalen VPN-Teilnehmers wird beibehalten, wenn der Befehl --ping-restart ausgeführt werden soll.

--persist-remote-ip die virtuelle IP-Adresse des zu verbindenden VPN-Teilnehmers wird beibehalten, wenn der Befehl --ping-restart ausgeführt werden soll.

--mlock überprüft, ob die Keys und Tunnel-Daten nicht ins SWAP kopiert werden.

--up cmd ruft ein Script cmd aus, nachdem TAP/TUN-Device gestartet wurde.

--up-delay verschiebt das Öffnen von TAP/TUN-Device und das Ausführen des --up Scripts, bis TCP/UDP –Verbindung mit dem VPN-Partner besteht.

--down cmd ruft ein Script cmd aus, nachdem TAP/TUN-Device geschlossen wurde.

--down-pre das --down Script wird kurz vor dem Schließen von TAP/TUN-Device ausgeführt.

--disable-occ Deaktiviert alle Fehlermeldungen. Sinnvoller Einsatz: Wenn eine ältere Version zu einer neueren Version verbunden werden soll.

--user user Ändert die User – ID von OpenVPN-Prozessen zu user

--group group Ändert die Gruppe – ID von OpenVPN-Prozessen zu group

--cd dir ändert das momentane Verzeichnis zu dir. Einsatz: Wenn OpenVPN in --demand mode gestartet werden soll und sie alle Konfig-Dateien und Zertifikate in einem Verzeichnis aufbewahren möchten.

--chroot dir OpenVPN chrootet ins Verzeichnis dir, nachdem der VPN-Tunnel aufgebaut wurde.

--log file Log-Information wird in die Datei file geschrieben. Die Datei wird jedes Mal neu überschrieben.

--log-append file Log-Information wird in die Datei file geschrieben. Die Datei wird nicht jedes Mal neu überschrieben.

--verb n legt den Level der Anzeige der Log-Informationen fest.

0 – Keine Log-Informationen werden angezeigt, außer der Fatal Errors Höchster Level 11. Default-Wert=1

--status file [n] legt den Status der Verbindung jede n-Sekunde in die Datei file ab.

--status-version [n] damit kann man die Versions-Nummer von file anzeigen lassen. Default-Wert=1 n kann entweder 1 oder 2 sein.

--mute n legt die Anzahl der Log-Informationen aus der gleichen Kategorie.

--comp-lzo anonciert LZO-Komprimierung.

Server Mode

--server network netmask gibt an, dass der Host als VPN-Server verwendet werden soll. network gibt an, welche IP-Adresse das virtuelle private Netzwerk haben soll. Der Server nimmt selbst die IP-Adresse …1 und vergibt via DHCP die IP-Adresse an die Klienten. netmask gibt an, welche Netzmaske das virtuelle private Netzwerk haben soll. z.B. --server 10.0.0.0 255.255.255.0

z.B., --server 10.8.0.0 255.255.255.0 kann folgendermaßen implementiert werden:

mode server
tls-server

if dev tun:
  ifconfig 10.8.0.1 10.8.0.2 
  ifconfig-pool 10.8.0.4 10.8.0.251
  route 10.8.0.0 255.255.255.0
  if client-to-client:
    push "route 10.8.0.0 255.255.255.0"
  else
    push "route 10.8.0.1"

if dev tap:
  ifconfig 10.8.0.1 255.255.255.0
  ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0
  push "route-gateway 10.8.0.1"

--server-bridge gateway netmask pool-start-IP pool-end-IP Wenn die die virtuelle Netzwerkkarte (TAP/TUN-Device) mit der reellen Netzwerkkarte überbrücken, dann ist der Befehl zu verwenden und nicht der “--server”. z.B. --server-bridge 10.0.0.1 255.255.255.0 10.0.0.2 10.0.0.100 z.B. server-bridge 10.8.0.4 255.255.255.0 10.8.0.128 10.8.0.254 kann folgendermaßen implementiert werden:

mode server
tls-server

ifconfig-pool 10.8.0.128 10.8.0.254 255.255.255.0
push "route-gateway 10.8.0.4"

--push “option” Mit dem Befehl können sie vom Server aus den Klienten sagen (pushen), welche Befehle der Klient in seiner Konfig zu verwenden hat. Beachte: Nicht alle Befehle lassen sich pushen! Hier ist die Liste von den Anweisungen, die an die Klient gepusht werden können: --route, --route-gateway, --route-delay, --redirect-gateway, --ip-win32, --dhcp-option, --inactive, --ping, --ping-exit, --ping-restart, --setenv, --persist-key, --persist-tun, --echo

--push-reset mit dem Befehl kann der Befehl “--push” ignoriert warden. Anstatt dessen können dann die push-Anweisungen mit --client-config-dir definiert werden.

--ifconfig-pool start-IP end-IP [netmask] gibt den IP-Pool an, aus dem die IP-Adresse an die Klienten vergeben werden sollen.

--ifconfig-pool-persist file [seconds] das Ziel dieses Befehls ist, möglichst feste IP-Adressen an die Klienten zu vergeben. file ist eine Text-Datei formatiert wie: <Common-Name><IP-Adresse> [seconds] Nach wie viel Sekunden das file verändert werden kann nach dem Start des Programms. Muss nicht immer definiert sein.

--ifconfig-pool-linear modifiziert den Befehl --ifconfig-pool, um den Klienten mit dem TUN-Device eine individuelle IP-Adresse zu vergeben. Der Befehl funktioniert nicht mit Windows-Klienten!!!

--ifconfig-push local remote-netmask pusht die --ifconfig Anweisung an die Klienten. Es ist genau so, wie in der Klient-Konfig zu schreiben: --ifconfig local netmask

--iroute network [netmask] legt eine interne Route zu dem bestimmten Klienten. Ein Beispiel: OVPN-Server hat zwei OVPN-Klienten. Und ein Klient muss in das Netzwerk hinter dem anderen Klienten. Sie können dann vom Server aus die Route an den ersten Klienten ins Netzwerk hinter dem zweiten Klienten pushen: --push „route …“ client-to-client, oder einfach den Befehl --iroute verwenden.

--client-to-client die Klienten “sehen“ dann nicht nur den OVPN-Server, sondern auch andere Klienten. Die Klienten können sich miteinander kommunizieren.

--duplicate-cn Der OVPN-Server erlaubt damit den Klienten, den gleichen Common Name in den Zertifikaten zu verwenden.

--client-connect script führt script basierend auf <Common Name><IP-Adresse> aus, wenn sich die Klienten zu dem Server verbinden.

--client-disconnect script führt script basierend auf <Common Name><IP-Adresse> aus, wenn die Klienten von dem Server getrennt werden.

--client-config-dir dir spezifiziert das Verzeichnis, wo die spezifische Konfiguration von den Klienten liegt. (Basierend wiederum auf <Common Name><IP-Adressen>). Dient hauptsächlich dazu möglichst feste IP-Adresse an Klienten zu vergeben.

--ccd-exclusive teilt mit, dass der zu verbindende Klient ein --client-config-dir file hat.

--tmp-dir dir legt das Temporäre Verzeichnis fest. Das Verzeichnis wird vom --client-connect script verwendet.

--max-clients n legt die maximale Anzahl von den Klienten fest.

--max-routes-per-client n legt die maximale Anzahlt der Routen auf den Klienten fest. (Default-Wert: 256)

--connect-freq n sec erlaubt n Verbindungen pro sec - Sekunde.

--learn-address cmd ruft das Script cmd aus, um die virtuelle IP-Adresse der Klienten zu bestätigen.

--auth-user-pass-verify script method erfordert von den Klienten sich mit username/password zu authentifizieren. Es wird script ausgeführt, um die Authentifizierung zu bestätigen. Unter method kann entweder "via-env" (Der Klient gibt username/password an) oder "via-file" (Der Klient hat username/password im file gespeichert. Der Name des files wird im script definiert) stehen.

--client-cert-not-required Authentifizierung wird ohne Zertifikate durchgeführt. Der Klient braucht nur username/password anzugeben. (Die Methode ist nicht allzu sicher!)

--username-as-common-name für --auth-user-pass-verify wird der username als Common Name verwendet.

Client Mode

--client teilt dem Host mit, dass der Host ein Klient ist. Der Befehl kann folgendermaßen implementiert: pull tls-client

--pull erlaubt dem Server Anweisungen in die Klient-Konfig zu pushen.

--auth-user-pass [up] teilt dem Klient mit, dass er username/password braucht um sich bei dem Server zu authentifizieren. [up] ist ein file, wo username/password gespeichert sind. Die Server-Konfig muss dann --auth-user-pass-verify enthalten.

--auth-retry type teilt dem OpenVPN, wie es zu reagieren hat, wenn der Klient falsche Authentifizierungsdaten angibt. Unter type kann folgendes stehen: none die Verbindung des Klienten wird mit einem fatal error beendet. nointeract die Verbindung des Klienten wird ohne Authentifizierung durchgeführt. interact Authentifizierung wird noch mal durchgeführt.

--explicit-exit-notify [n] der Server schickt eine Nachricht, wenn der Tunnel neu gestartet wurde oder wenn die Verbindung zu dem Klient getrennt wurde.

Verschlüsselungsoptionen Allgemein

--secret file [direction] ein Pre-Shared Schlüssel (symmetrische Verschlüsselungsmethode) wird verwendet. file ist der Schlüssel bzw. der Pfad zu dem Schlüssel.

--auth alg Die IP-Pakete werden mit HMAC authentifiziert. Mehr Infos über HMAC unter: http://www.cs.ucsd.edu/users/mihir/papers/hmac.html

--cipher alg entschlüsselt die IP-Pakete mit cipher - Algorithmus alg. Mehr Infos für cipher unter: http://www.counterpane.com/blowfish.html

--keysize n legt die Größe des Schlüssels in bits fest.

--no-replay deaktiviert OpenVPN’s Schutz gegen attacks. Verwenden Sie die Option nur dann, wenn sie genau wissen, was Sie tun.

--no-iv deaktiviert IV (cipher initialization vector).Verwenden Sie die Option nur dann, wenn sie genau wissen, was Sie tun.

--test-crypto dient zum Testen der Verschlüsselung. Typischer Einsatz: openvpn --test-crypto --secret key oder openvpn --test-crypto --secret key --verb 9

TLS Verschlüsselungsoptionen:

--tls-server teilt dem Host mit, dass er TLS-Server ist. Mehr zu dem Thema TLS-Server bzw. TLS-Client unter: www.openssl.org

--tls-client teilt dem Host mit, dass er TLS-Client ist. Mehr zu dem Thema TLS-Server bzw. TLS-Client unter: www.openssl.org

--ca file gibt den Pfad zu dem Certificate Authority (ca) – File an. Mit OpenSSL wird ca-File folgendermaßen erstellt: openssl req -nodes -new -x509 -keyout tmp-ca.key -out tmp-ca.crt

--dh file gibt den Pfad zu dem dh-File an. Die dh-Datei enthält die Diffie Hellman Parameter (erforderlich nur für --tls-server). Die dh-Datei wird mit OpenSSL folgendermaßen erstellt: openssl dhparam -out dh1024.pem 1024

--cert file gibt den Pfad zu dem Zertifikat-File an. Die Datei kann mit OpenSSL folgendermaßen erstellt werden: openssl req -nodes -new -keyout mycert.key -out mycert.csr

--key file gibt den Pfad zu dem privaten Schlüssel an.

--pkcs12 file gibt den Pfad zu dem PKCS #12 file an. Diese Datei enthält das Zertifikat, den privaten Schlüssel und ca-Datei. Der Befehl wird anstatt von --ca, --cert, --key verwendet.

Information über SSL-Bibliotheken

--show-ciphers (Nur Komandozeile). Zeigt alle ciphers-Algorithmen an, die mit der Option “cipher” zu verwenden sind.

--show-digests (Nur Komandozeile). Zeigt alle Methoden an, die mit der Option “--auth” zu verwenden sind.

--show-tls (Nur Komandozeile). Zeigt alle TLS-ciphers Algorithmen an.

--show-engines (Nur Komandozeile). Zeigt alle vorhandenen Verschlüsselungsbeschleuniger an, die von OpenSSL unterstützt werden.

Windowsspezifische Optionen

--ip-win32 method Wenn die Option “--ifconfig“ auf Windows verwendet wird, so wird die IP-Adresse und Submaske dem TAP-Adapter nach der „method“-Methode zugewiesen.

Folgende Methoden sind möglich:

  manual die IP-Adresse und Submaske werden dem TAP-Adapter nicht automatisch zugewiesen. 
  Anstatt dessen wird der User in der Konsole aufgefordert, dies manuell zu machen.

  dynamic (Default-Wert) die IP-Adresse und Submaske werden dem TAP-Adapter automatisch zugewiesen.

  netsh  die IP-Adresse und Submaske werden dem TAP-Adapter automatisch anhand des Windows-Befehls „netsh“ zugewiesen.
   Die Methode funktioniert nur auf Windows XP, aber nicht auf Windows 2000!

  ipapi die IP-Adresse und Submaske werden dem TAP-Adapter automatisch anhand von API zugewiesen.

--route-method m legt die Methode fest, mit der eine Route angesetzt werden soll.

Folgende Methoden sind möglich:

 ipapi (Default-Methode) – die Route wird anhand von API angesetzt.

  exe – die Route wird anhand des Shells-Befehls “route.exe” angesetzt.

--dhcp-option type [parm] legt die TCP/IP-Eigenschaften vom TAP-Adapter fest. Die Option ist nur mit der Option „--ip-win32 dynamic“ zu verwenden. Die Option ist sehr hilfsreich, wenn ein Samba-Server via VPN eingerichtet werden soll.

Folgende Möglichkeiten stehen zur Verfügung:

  DOMAIN name legt den Verbindungsspezifischen DNS-Suffix fest. 

  DNS addr legt die Adresse vom bevorzugten Domain Name Server fest. 

  WINS addr legt die Adresse vom bevorzugten WINS-Server fest. 

  NBDD addr legt die Adresse vom bevorzugten NBDD-Server fest.

  NTP addr legt die Adresse vom bevorzugten NTP-Server fest.

  NBT type legt den “NetBIOS over TCP/IP“-Knotentypen fest.  
  Folgende Möglichkeiten: 1 = b-node (broadcasts), 2 = p-node (point-to-point Namenabfragen zu dem WINS-Server), 
  4 = m-node (broadcast, danach Namenabfragen zu dem  Server), and 8 = h-node (Namenabfragen zu dem  Server, danach broadcast).

  NBS scope-id legt den “NetBIOS over TCP/IP“-Bereich fest. 

  DISABLE-NBT deaktiviert  NetBIOS over TCP/IP. 

--tap-sleep n fordert OpenVPN für n-Sekunden “einzuschlafen”, sofort nachdem der Status vom TAP-Adapter auf “verbunden” gesetzt wurde.

--show-adapters (nur in der Komandozeile). Zeigt die vorhandenen TAP-Adapter auf dem System an.

Weitere Anweisungen finden Sie auf http://openvpn.net/man.html