Server 配置

关于证书

CA

CA 建议单独放在一台机器上。

证书

OpenVPN 也可以用 LetsEncrypt 的证书，但是不安全，这样操作的话，除非额外增加了用户名和密码验证，不然 LetsEncrypt 颁发的任何证书都将被允许连接。

如果有多个服务端实例，这些服务端是可以共用同一个 CA 的

性能调优

主要参考了 https://linuxblog.io/improving-openvpn-performance-and-throughput/

• 加密测速
  • openssl speed -evp aes-128-gcm
  • openssl speed -evp chacha20-poly1305
• 优化 IO
  • fast-io 配置项，但只能在 UDP 模式下、未指定 shaper 以及非 Windows 系统三个条件都满足的情况下才有效
• 改缓冲区
  • 可以在服务端、客户端改；

参考

• https://www.digitalocean.com/community/tutorials/how-to-set-up-and-configure-an-openvpn-server-on-ubuntu-20-04