在当今数字化转型加速的时代,越来越多的企业和开发者选择将业务部署在云端,无论是搭建网站、运行数据库,还是部署微服务架构,云服务器(如阿里云ECS、AWS EC2、腾讯云CVM等)已成为基础设施的核心,直接暴露云服务器的公网IP地址会带来严重的安全隐患,尤其当需要从外部网络进行远程管理或访问内网资源时,这时,配置一个安全可靠的虚拟私人网络(VPN)就显得尤为重要。
本文将详细介绍如何在云服务器上配置OpenVPN或WireGuard这两种主流开源VPN协议,帮助你实现安全、加密、稳定的远程访问,从而提升运维效率并保障数据安全。
准备工作必不可少,你需要一台已部署的操作系统(推荐Ubuntu 20.04 LTS或CentOS 7以上版本)的云服务器,并确保其拥有公网IP,建议通过SSH密钥登录而非密码,增强安全性,完成基础环境搭建后,我们以Ubuntu为例演示OpenVPN的配置流程:
-
安装OpenVPN及相关工具:
sudo apt update && sudo apt install openvpn easy-rsa -y
-
使用Easy-RSA生成证书和密钥(CA证书、服务器证书、客户端证书),这是建立信任链的关键步骤,执行以下命令初始化PKI目录:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
-
修改
vars文件中的国家、组织等信息,然后依次执行:./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server ./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
-
配置服务器端主文件
/etc/openvpn/server.conf,启用TUN模式、设置端口(默认UDP 1194)、指定证书路径等关键参数,示例配置如下:port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/pki/ca.crt cert /etc/openvpn/easy-rsa/pki/issued/server.crt key /etc/openvpn/easy-rsa/pki/private/server.key dh /etc/openvpn/easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 cipher AES-256-CBC auth SHA256 user nobody group nogroup persist-key persist-tun status /var/log/openvpn-status.log verb 3 -
启动OpenVPN服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
-
在客户端(Windows/macOS/Linux)安装OpenVPN客户端软件,导入生成的
.ovpn配置文件(包含CA证书、客户端证书、密钥等),即可连接到云服务器上的私有网络。
除了OpenVPN,WireGuard因其轻量级、高性能和现代加密算法而备受推崇,配置过程更简洁,只需几行命令即可完成,适合对性能要求更高的场景。
云服务器配置VPN不仅是技术实践,更是网络安全策略的重要一环,它不仅允许你从任何地方安全地访问服务器,还能为多个分支办公室或移动员工提供统一的内网接入能力,掌握这一技能,意味着你可以构建更灵活、更安全的云上架构,配置完成后务必测试连接稳定性,并定期更新证书与固件,防患于未然。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
