在当今数字化办公日益普及的背景下,企业或个人用户对远程访问内网资源的需求持续增长,无论是远程办公、异地部署服务器,还是保障数据传输的安全性,一个稳定、加密、易管理的虚拟专用网络(VPN)解决方案显得尤为重要,OpenVPN作为开源且功能强大的VPN工具,凭借其跨平台兼容性、灵活配置和强加密能力,成为众多网络工程师首选的自建方案。
本文将详细讲解如何在Linux系统(以Ubuntu Server为例)上搭建一套完整的OpenVPN服务,帮助你快速构建一个安全可靠的远程访问通道。
第一步:准备环境
你需要一台运行Linux系统的服务器(如Ubuntu 20.04/22.04),并确保该服务器具备公网IP地址,同时开放UDP端口1194(OpenVPN默认端口),建议使用云服务商(如阿里云、腾讯云、AWS等)提供的ECS实例,便于管理和维护。
第二步:安装OpenVPN及相关工具
登录服务器后,更新系统包列表:
sudo apt update && sudo apt upgrade -y
接着安装OpenVPN和Easy-RSA(用于证书生成):
sudo apt install openvpn easy-rsa -y
第三步:配置证书颁发机构(CA)
Easy-RSA提供了一套完整的PKI(公钥基础设施)管理工具,首先复制示例配置文件到本地目录:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,设置你的组织信息(如国家、省份、公司名等),然后执行以下命令生成CA证书:
./easyrsa init-pki ./easyrsa build-ca nopass
此步骤会生成ca.crt文件,这是后续所有客户端和服务端通信的信任基础。
第四步:生成服务器证书和密钥
继续在当前目录下运行:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
这将创建服务器私钥(server.key)和证书(server.crt)。
第五步:生成Diffie-Hellman参数
为增强安全性,生成DH参数(约数分钟):
./easyrsa gen-dh
第六步:配置OpenVPN服务端
复制生成的证书和密钥到OpenVPN配置目录:
cp pki/ca.crt pki/private/server.key pki/issued/server.crt pki/dh.pem /etc/openvpn/
创建主配置文件 /etc/openvpn/server.conf如下(可根据需要调整):
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3这个配置定义了TUN模式、子网分配(10.8.0.0/24)、DNS重定向、压缩选项等关键参数。
第七步:启动OpenVPN服务
启用并启动服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
检查状态:
sudo systemctl status openvpn@server
第八步:生成客户端证书
在Easy-RSA目录中,为每个客户端生成唯一证书(如名为client1):
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
将生成的client1.crt、client1.key和ca.crt打包发送给客户端,并创建.ovpn配置文件,格式如下:
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3第九步:防火墙与NAT转发(可选但推荐)
若服务器位于内网,需配置iptables进行NAT转发,使客户端能访问内网资源:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i tun0 -j ACCEPT sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
最后保存规则:sudo iptables-save > /etc/iptables/rules.v4
至此,你的OpenVPN服务已成功搭建完成!客户端只需导入.ovpn配置文件即可连接,实现安全加密的远程访问,整个过程无需第三方付费服务,完全可控、透明、安全,是中小型企业或技术爱好者的理想选择,记住定期更新证书、监控日志、强化密码策略,才能让这套系统长期稳定运行。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
