在当今数字化办公日益普及的背景下,远程访问企业内网资源已成为许多企业和个人用户的刚需,Linux系统因其开源、稳定和高度可定制的特性,成为搭建虚拟专用网络(VPN)服务的理想平台,本文将详细介绍如何在Linux系统上安装和配置OpenVPN——一个广泛使用且功能强大的开源VPN解决方案,帮助你建立安全可靠的远程连接。
确保你的Linux系统已更新至最新版本,以Ubuntu/Debian为例,运行以下命令:
sudo apt update && sudo apt upgrade -y
安装OpenVPN及相关工具包:
sudo apt install openvpn easy-rsa -y
easy-rsa 是用于生成SSL/TLS证书和密钥的工具,是OpenVPN通信安全的基础。
安装完成后,我们需要为服务器和客户端生成证书与密钥,进入EasyRSA目录并初始化PKI环境:
cd /usr/share/easy-rsa/ sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/ cd /etc/openvpn/ sudo mkdir keys sudo chown -R root:root keys/
编辑 vars 文件(位于 /etc/openvpn/),设置国家、省份、组织等信息,
set_var EASY_RSA_COUNTRY "CN"
set_var EASY_RSA_PROVINCE "Beijing"
set_var EASY_RSA_CITY "Beijing"
set_var EASY_RSA_ORG "MyCompany"
set_var EASY_RSA_EMAIL "admin@example.com"
set_var EASY_RSA_CN "server"然后执行以下命令生成CA证书、服务器证书和密钥:
sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-dh
生成客户端证书和密钥(每个用户一个):
sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
我们创建OpenVPN服务器配置文件,在 /etc/openvpn/ 下新建 server.conf:
port 1194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3保存后,启用IP转发功能(使服务器能作为网关):
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p
配置防火墙规则(以UFW为例):
sudo ufw allow 1194/udp sudo ufw enable
启动OpenVPN服务:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
至此,服务器端配置完成,客户端需要准备以下文件:
- ca.crt(CA证书)
- client1.crt(客户端证书)
- client1.key(客户端私钥)
将这些文件打包成 .ovpn 配置文件,
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3将该文件导入OpenVPN客户端(如Windows上的OpenVPN GUI或Linux下的图形界面工具),即可连接到服务器,实现加密远程访问。
通过以上步骤,你不仅成功搭建了一个基于OpenVPN的安全网络隧道,还掌握了证书管理、路由配置和防火墙规则设置等关键技能,这为后续扩展更多功能(如多用户认证、日志审计、负载均衡)打下了坚实基础,网络安全无小事,定期更新证书、监控日志、限制访问权限,是保障系统长期安全的关键。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
