# Le processus serveur fonctionne avec des groupes et utilisateurs aux droits limités
user nobody
group nogroup

# Niveau de verbosité du service
verb 3

#
# Configuration du tunnel
#
proto udp
dev tun
# Par défaut c'est le port 1194 qui est utilisé.
# Le modifier au besoin.
#port 1194
# Compression lz4. Peut être remplacé par lzo
# mais doit être indiqué sur la configuration
# cliente
compress lz4
# Permet d'adapter les paquets TCP au transit au
# travers du tunnel
mssfix
fragment 1300
# Pas besoin d'appeler de script utilisateur
script-security 1
# Emplacement dans lequel le service sera chrooté
# après initialisation.
chroot /var/local/openvpn/chroot/medshake/
# Emplacement de fichier temporaire utilisé par
# par le service. Relatif au chroot.
tmp-dir tmp/

# Ne pas relire les fichiers clés, ni fermer le périphérique tun
# à la réception d'un signal de relecture de configuration.
# Nécessaire, car le service fonctionnera avec un utilisateur
# non privilégié une fois lancé.
persist-tun
persist-key

#
# Mode server
# Type sous réseau 10.32.64.0/24
# le serveur prendra l'IP 10.32.64.1
#

server 10.32.64.0 255.255.255.0
topology subnet

#
# Configuration du TLS
#
tls-server
# Uniquement la version la plus récente de TLS
# (tant pis pour les clients obsolètes)
tls-version-min 1.3
# Vu que nous utilisons TLS 1.3 et des certificats ECDSA 
# nous n'utiliserons pas de paramètre Diffie Hellman
dh none
# Certficat de la CA
ca   /var/local/easyrsa/pki/ca.crt
# Certficat du serveur
cert /var/local/easyrsa/medshake/pki/issued/medshake.crt
# Clé privée du serveur
key  /var/local/easyrsa/medshake/pki/private/medshake.key
# Fichier pour la CRL
# (l'emplacement du fichier est relatif à celui du chroot définit plus bas)
crl-verify crl.pem
# Seuls les clients possédant un certificat valide peuvent accéder au VPN
verify-client-cert require
# Emplacement de la clé pour l'authentification HMAC.
# Possède un sens d'utilisation indiqué à la fin de la ligne.
# Ici sur le serveur on a mis '0' donc sur les clients ils seront à '1'
tls-auth /etc/openvpn/medshake-ta.key 0

#
# Ping les clients toutes les 10 secondes
# et ferme la connexion si le client ne donne pas
# de nouvelles au bout de 60 secondes.
keepalive 10 60
# Autorise les clients à changer d'IP et de port durant la connexion
float