VTUND.CONF

НАЗВАНИЕ
ОПИСАНИЕ
ОБЩИЕ ОПЦИИ
ОПЦИИ СЕАНСОВ
ЗАМЕЧАНИЯ
СМОТРИ ТАКЖЕ
АВТОРЫ
АВТОР ПЕРЕВОДА

НАЗВАНИЕ

vtund.conf − файл конфигурации демона виртуальных туннелей VTun

ОПИСАНИЕ

Файл конфиуграции демона виртуальных туннелей vtund(8).

Файл состоит из разделов следующего вида:

имя {
ключевое_слово значение
;
ключевое_слово значение
;
..
}

Точка с запятой в конце каждой пары ключевое_слово−значение обязательны, равно как и группирующие фигурные скобки {}. Строки, которые начинаются с символов "#", являются комментариями.

Имя раздела (имя) может быть одним из следующих:
options

Этот раздел задаёт общие настройки vtund.

default

Задаёт настройки по умолчанию для всех сеансов.

сеанс

Любые другие слова, за исключением "options" и "default", начинают новый сеанс и задают его настройки.

Все ключевые слова могут быть сокращены до 4 символов.

ОБЩИЕ ОПЦИИ

Этот раздел, называющийся options, задаёт общие настройки, используемые vtund(8). Доступные ключевые слова:
type stand
|inetd

Тип сервера. vtund(8) может работать в самостоятельном режиме (stand), что подразумевается, или может быть вызван из inetd(8).

ipv4

Использовать IPv4 в качестве транспортной среды. Используется по умолчанию. Внутри туннеля можно использовать другие типы.

ipv6

Использовать IPv6 в качестве транспортной среды.

port номер_порта

Номер порта сервера или порт для подключения. По умолчанию vtund(8) использует порт 5000.

bindaddr список

Список прослушиваемых сервером адресов. Используется для принудительного указания vtund ожидать соединений на указанном адресе и порту в режиме сервера. Формат:
bindaddr
{
опция значение
;
};

Опции bindaddr:
iface 
имя_интерфейса

Использовать адрес на интерфейсе имя_интерфейса для ожидания подключений.

addr адрес

Использовать адрес для ожидания подключений. Можно указать как IP−адрес, так и имя узла.

timeout секунды

Общий таймаут.

persist yes|keep|no

Постоянный режим. Если yes, клиент попытается переподключиться к серверу после закрытия подключения. Если keep, клиент не удаляет и не добавляет заново устройство tunXX или tapXX при переподключении. Если no, клиент завершит работу (по умолчанию). Эта опция игнорируется сервером.

syslog число|имя

Указание категории источника syslog, можно указать числом или именем (из syslog(3)).

ppp путь

Путь к программе pppd(8). Может использоваться в разделах сеансов.

ifconfig путь

Путь к программе ifconfig(8). Может использоваться в разделах сеансов.

route путь

Путь к программе route(8). Может использоваться в разделах сеансов.

ip путь

Путь к программе iproute(8). Может использоваться в разделах сеансов.

firewall путь

Программа для настройки пакетной фильтрации.

Все параметры ppp, ifconfig, route и firewall могут указывать имя соответствующей программы или эквивалента (например, имя shell−сценария). Эти параметры используются в разделах сеансов для настройки сетевых интерфейсов.

ОПЦИИ СЕАНСОВ

Опции сеансов можно указывать внутри разделов сеансов или внутри раздела default. Настройки по умолчанию применяются к любому сеансу, но могут быть переопределены здесь. Доступные настройки:
passwd 
пароль

Пароль для аутентификации. Он должен быть одинаковым у клиента и у сервера.

type тип

Тип туннеля. Доступные типы туннелей:

tun

IP−туннель (без заголовков PPP, Ethernet и т.п.).

ether

Ethernet−туннель.

tty

Последовательный туннель (PPP, SLIP и т.п.).

pipe

Туннель−канал.

По умолчанию тип туннеля − tty. Эта опция игнорируется клиентом.

device устройство

Используемое сетевое устройство. Вы можете выбрать tapXX для Ethernet−туннелей или tunXX для IP−туннелей. По умолчанию vtund(8) автоматически выберет доступное устройство.

proto tcp|udp

Используемый протокол. По умолчанию vtund(8) использует протокол TCP. UDP рекомендуется только для туннелей ether и tun. Эта опция игнорируется клиентом.

nat_hack client|server|no

Сторона, на которой используется nat_hack. По умолчанию vtund(8) использует опцию ’no’. Сторона, на которой включена поддержка NAT, производит отложенное подключение к сокету UDP. Нужно включать только со стороны, находящейся снаружи NAT (обычно это сервер)! Опция ’client’ на сервере и опция ’server’ на клиенте игнорируются, чтобы использовать одинаковый файл конфигурации с обеих сторон.

Имеет значение только при использовании proto udp. Поддержка NAT откладывает подключение к сокету UDP до получения первого UDP−пакета от другой стороны туннеля. Затем сокет подключается к правильному номеру порта источника пакета (на сервере NAT), а не к тому, который был использован в процессе рукопожатия (который находится за NAT и обычно бывает недоступен). Первый эхо−запрос тоже отключается на стороне с включенной поддержкой NAT.

В настоящее время механизм работает только с одной стороны, для одностороннего прохождения NAT. Если включить его для обеих сторон, обе стороны будут ждать первого пакета и туннель никогда не передаст данные.

Предупреждение о безопасности! Из−за природы отложенных подключений, теоретически туннель может быть захвачен злоумышленником с той же стороны NAT, путём отправки первого пакета на UDP−порт сервера, до того, как это сделает настоящий клиент. Если вы не осознаёте риски, или хотите сохранить безопасность с таким типом NAT−маршрутизатора, используйте proto tcp, который поддерживает прохождение NAT.

По вышеизложенным причинам, для повышения безопасности эту опцию можно отключить в процессе компиляции (configure −−disable−nathack).

timeout секунды

Таймаут подключения.

compress метод[:уровень]

Указывает используемый метод сжатия. Доступные методы сжатия:

no

Без сжатия.

yes

Метод сжатия по умолчанию.

zlib

Сжатие ZLIB.

lzo

Сжатие LZO (если программа скомпилирована с его поддержкой).

Также можно указать уровень сжатия, при помощи цифры (1 − лучшая скорость, 9 − лучший коэффициент сжатия). Эта опция игнорируется клиентом.

encrypt метод[:уровень]

Указывает используемый метод шифрования. Доступные методы шифрования:

no

Без шифрования.

yes

Метод шифрования по умолчанию (blowfish128ecb).

blowfish128ecb

Шифр Blowfish, 128−битный ключ, режим ECB.

blowfish128cbc

Шифр Blowfish, 128−битный ключ, режим CBC.

blowfish128cfb

Шифр Blowfish, 128−битный ключ, режим CFB.

blowfish128ofb

Шифр Blowfish, 128−битный ключ, режим OFB.

blowfish256ecb

Шифр Blowfish, 256−битный ключ, режим ECB.

blowfish256cbc

Шифр Blowfish, 256−битный ключ, режим CBC.

blowfish256cfb

Шифр Blowfish, 256−битный ключ, режим CFB.

blowfish256ofb

Шифр Blowfish, 256−битный ключ, режим OFB.

aes128ecb
oldblowfish128ecb

Шифр Blowfish, 128−битный ключ, режим ECB
(только для использования с клиентами 2.6) Шифр AES, 128−битный ключ, режим ECB

aes128cbc

Шифр AES, 128−битный ключ, режим CBC.

aes128cfb

Шифр AES, 128−битный ключ, режим CFB.

aes128ofb

Шифр AES, 128−битный ключ, режим OFB.

aes256ecb

Шифр AES, 256−битный ключ, режим ECB.

aes256cbc

Шифр AES, 256−битный ключ, режим CBC.

aes256cfb

Шифр AES, 256−битный ключ, режим CFB.

aes256ofb

Шифр AES, 256−битный ключ, режим OFB.

Эта опция игнорируется клиентом.

keepalive yes|no|интервал:количество

Включить или отключить поддержание соединения. Время интервал − это период между проверками соединения, в секундах, а количество − это максимальное количество попыток (yes = 30:4). Эта опция игнорируется сервером.

stat yes|no

Включить или отключить сатистику. Если включено, vtund(8) ведёт журнал счётчиков статистики /var/log/vtund/session_X каждые 5 минут.

speed kbps

Задаёт скорость соединения в килобитах в секунду. Правильные значения kbps: 8, 16, 32, 64, 128, 256 и т.п. 0 (по умолчанию) означает максимальную возможную скорость без ограничения. Можно указать скорость в виде вход:выход, где вход − скорость к клиенту, выход − скорость от клиента. Одно число означает одинаковую скорость для входа и выхода. Эта опция игнорируется клиентом.

srcaddr список

Локальный (исходный) вдрес. Используется для принудительного указания vtund использовать определённые IP−адрес и порт. Формат:
srcaddr
{
опция значение
;
опция значение
;
..
};

Опции srcaddr:
iface 
имя_интерфейса

Использовать адрес интерфейса имя_интерфейса в качестве исходного адреса.

addr адрес

Исходный адрес. Можно указать как IP−адрес, так и имя узла.

port номер_порта

Исходный порт.

multi значение

Управение множественными подключениями. Значение может быть yes или allow, чтобы разрешить множественные подключения, no или deny для запрета или killold, чтобы разрешить новое подключение и закрыть прежнее. Игнорируется клиентом.

up список

Список программ, которые нужно запустить после установки подключения. Используется для инициализации протоколов, устройств, маршрутизации и пакетного фильтра. Эта опция выглядит как самостоятельный рҰздел внутри раздела сеанса. Формат:
up
{
опция значение
;
опция значение
;
..
};

Опции внутри блоков updown):
program 
путь аргументы [wait]

Запустить указанную программу. Путь − это полный путь к программе, аргументы − это все аргументы, передаваемые ей (заключены в двойные кавычки). Если указано wait, vtund будет ожидать завершения программы. Особые символы, которые можно использовать внутри параметра аргументы:

´ (одинарные кавычки) − группировать аргументы
\
(обратная косая черта) − экранирующий символ
%d
− имя устройства TUN или TAP или порта TTY
%%
(двойной процент) − то же, что и %d
%A
− локальный IP−адрес
%P
− локальный TCP или UDP−порт
%a
− удалённый IP−адрес
%p
− удалённый TCP или UDP−порт

ppp аргументы

Запустить программу, указанную выражением ppp в разделе options. Все специальные символы, описанные выше, доступны для указания в аргументах.

ifconfig аргументы

Запустить программу, указанную выражением ifconfig в разделе options.

route аргументы

Запустить программу, указанную выражением route в разделе options.

ip аргументы

Запустить программу, указанную выражением ip в разделе options.

firewall аргументы

Запустить программу, указанную выражением firewall в разделе options.

down список

Список программ, запускаемых после закрытия подключения. Он аналогичен параметру up, описанному выше. Формат:
down
{
опция значение
;
опция значение
;
..
};

ЗАМЕЧАНИЯ

Опции, игнорируемые клиентом, предоставляются сервером во время запуска или используются только на стороне сервера.

СМОТРИ ТАКЖЕ

vtund(8), inetd(8), ifconfig(8), route(8), pppd(8), syslog(3), zlib(3).

АВТОРЫ

vtund написан Максимом Краснянским (Maxim Krasnyansky) <max_mk@yahoo.com>. Эта страница руководства основана на комментариях конфигурационного файла, сделанных Михаилом Токаревым (Michael Tokarev) <mjt@tls.msk.ru>.

АВТОР ПЕРЕВОДА

Перевод на русский язык выполнил Владимир Ступин <vladimir@stupin.su>.