client # entspricht den Direktiven: tls-client und pull

# Serverzertifikatstyp prüfen. Vorgezogen als Workaround für schlechtes Config-File Parsing vom Gnome NetworkManager
# bei Verwendung der Version 2.0.9 muss diese Zeile auskommentiert werden
remote-cert-eku "TLS Web Server Authentication"

remote openvpn.cms.hu-berlin.de 1194 # Hostname/externe IP des Servers/Routers, Port entsprechend anpassen
proto tcp-client # Protokoll TCP
dev tap0 # evtl. tun0 unter Linux

# don't bind to specific port
nobind

# daemon mode
daemon

# enable compression
comp-lzo

# Verbindungsdaten für Server
# Wir verwenden Passwort-Authentifizierung statt Clientzertifikaten
ca ca.crt
auth-user-pass
ns-cert-type server # Eine Sicherheitsmaßnahme
tls-remote openvpn.cms.hu-berlin.de # Prüfen, ob richtiges Zertifikat vorgezeigt wird

# verhindert Speicherung der Passwörter im Speicher - Passwörter müssen dann regelmäßig neu eingegeben werden
#auth-nocache

# tls-auth gegen DoS Attacken
tls-auth ta.key 1

# statt dem gesamten Netzverkehr nur Anfragen an HU-Netz durch VPN tunneln
#route-nopull
#route 141.20.0.0 255.255.0.0

# Logging
log openvpn.log

verb 3 # Zum Debugging erhöhen
mute 50 # Zum Debugging auskommentieren

# DNS-Einstellungsübernahme
#script-security 2 # ab OpenVPN 2.1 notwendig

# SuSE (übernommen vom OpenVPN der HU-Informatik)
#up   "/sbin/modify_resolvconf modify  -s openvpn -p /usr/sbin/openvpn -t 'Name Server modified by OpenVPN' -l 'wlan.hu-berlin.de' -n '141.20.1.3 141.20.2.3'; echo > /dev/null"
#down "/sbin/modify_resolvconf restore -s openvpn; echo > /dev/null" 

# Ubuntu
#up /etc/openvpn/update-resolv-conf
#down /etc/openvpn/update-resolv-conf