# Интерфейсы
ext_if = "rl1"    # external interface name
int_if = "rl0"    # internal interface name
vpn_if = "tun0"   # openvpn

# IP адреса
ext_ip = "192.168.1.2"
#lan = "192.168.0.0/24"
#vpn = "10.20.30.0/24"

my_nets= "{ 192.168.0.0/24, 10.20.30.0/24 }"

# Порты
client_ports = "{ 5222, 5190, ftp, ssh, smtp, pop3, ntp, http, https, 3128, 3129, 8080, >=49151 }"

www_ports="{ 80,81,82,83,88,8000,8080,8001,8002}"
mail_ports="{ 25, 110, 143, 465, 587, 995 }"
messaging_ports="{ 2041, 2042, 5190, 5222 }"
https_port="443"
named_port="53"
vipnet_port="55777"
teamviewer_port="5938"
dlo_port="3040"
radmin_port="4899"
ftp_ports="{20,21}"
etp_port="3580"
#---------------------------------------------------------
# Нормализация
#---------------------------------------------------------
set block-policy drop

# Логирумый интерфейс
set loginterface $ext_if
set limit { frags  100000 , states  100000  }
set optimization normal
set skip on lo0
scrub in all

#--------------------------------------------------------
#NAT & RDR
#--------------------------------------------------------
nat pass proto tcp from $my_nets to any port $https_port -> $ext_ip
nat pass proto tcp from $my_nets to any port $messaging_ports -> $ext_ip
nat pass proto tcp from $my_nets to any port $mail_ports -> $ext_ip
nat pass proto udp from $my_nets to any port $named_port -> $ext_ip
nat pass proto icmp from $my_nets to any -> $ext_ip
nat pass proto udp from $my_nets to any port $vipnet_port -> $ext_ip
nat pass from $my_nets to any port $teamviewer_port -> $ext_ip
nat pass proto tcp from $my_nets to any port $dlo_port -> $ext_ip

rdr pass proto tcp from $my_nets to any port $www_ports ->  127 . 0 . 0 . 1  port  3128 



#--------------------------------------------------------
# Правила фильтрации
#-------------------------------------------------------
block all

pass on $int_if
pass from $my_nets to any

pass proto tcp from any to self port  22  keep state
pass from self to any keep state

pass in on $ext_if proto udp from any to port  2000  keep state
pass quick on $vpn_if 

port  2000  ;порт
proto udp ;протокол
dev tun ;устройство (tun тунель)
keepalive  20   240  ;ping каждые  20  сек, если после  240  сек ответа нет - значит связь потерянна
server  10 . 20 . 30 . 0   255 . 255 . 255 . 0  ;указываю VPN подсеть (все VPN клиенты будут получать адреса из  10 . 20 . 30 . 0  подсети)

;далее я указываю пути к сертификатам
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem

tls-server ;включение дополнительной безопасности, ключ ta.key должен быть и на сервере и на клиенте.  2 -ой параметр в конфигах должен быть "0" на сервере и "
tls-auth /usr/local/etc/openvpn/keys/ta.key 0 ;путь к ключу
tls-timeout 120 ;время до реконекта
cipher BF-CBC ;шифрование Blowfish (можно поставить AES, DES - у меня стандартное)
persist-key
persist-tun

user nobody ;запуск OVPN от виртуального пользователя
group nobody

ifconfig-pool-persist ipp.txt ;для того, чтобы клиенту всегда выдавался один и тот же ip (здесь хранится соотвествие клиент - виртуальный IP)
push "route  0 . 0 . 0 . 0   0 . 0 . 0 . 0 " ;так прописывается маршрут для клиента, чтобы он смог видеть подсеть за VPN сервером
route 10.20.30.0 255.255.255.0 ;а это маршрут сервер-клиент

comp-lzo ;включить сжатие
max-clients 100 ;максимум 10 клиентов
log /var/log/openvpn/openvpn.log ;лог файл (не забываем создавать лог файлы)
status /var/log/openvpn/openvpn-status.log ;здесь можно будет посмотреть текущее состояние сервера
verb 4 ;уровень логирования, от 0 до 9 (9-максимум логов)
mute 10 ;Запрет на повтор сообщений в логах. Не более 10 идущих друг за другом сообщений одного типа будут направлены в лог.

push "redirect-gateway"