# v20250704

port 1194
proto udp
dev tun

# Clés et certificats
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem

# TLS Crypt pour protéger le canal de contrôle
# Contrairement à tls-auth, tls-crypt n'est pas directionnelle !
tls-crypt /etc/openvpn/ta.key

# Chiffrement et sécurité
cipher AES-256-GCM
auth SHA512
tls-version-min 1.3
remote-cert-tls client

# User non privilégié
user nobody
group nogroup

# Networking
server 10.8.0.0 255.255.255.0
persist-key
persist-tun

# Routage
# redirect-gateway:	Demande au client de rediriger tout le trafic réseau vers le serveur VPN.
# def1 : Utilise deux routes /1 (0.0.0.0/1 et 128.0.0.0/1) au lieu d’une seule 0.0.0.0/0,
# pour éviter de supprimer la route vers la passerelle réelle.
# bypass-dhcp :	Préserve les routes vers le serveur DHCP local
# (évite de bloquer l'accès réseau LAN si un bail DHCP est encore actif).
push "redirect-gateway def1 bypass-dhcp"

# Propagation des DNS internes
push "dhcp-option DNS 192.168.50.1"
push "dhcp-option DNS 192.168.50.2"

# Propagation du domaine de recherche local
push "dhcp-option DOMAIN alsatux.lan"

# Propagation du résolveur SAMB
push "dhcp-option WINS 192.168.50.7"

# Client isolation (optionnel)
;client-to-client

# Révocation de certificat
crl-verify /etc/openvpn/crl.pem

# Journaux
log-append /var/log/openvpn.log
verb 3

# Sécurité scripts
script-security 2

# Connexions simultanées max
max-clients 10

# Compression (désactivée pour des raisons de sécurité)
;compress lz4
;push "compress lz4"