!bin/bash

hk258369 2026-04-23 4 0

手把手教你用脚本自动化搭建OpenVPN服务——从零到部署的完整指南

作为一名网络工程师,我经常被问到：“如何快速、安全地搭建一个可信赖的虚拟私人网络（VPN）？”尤其是在远程办公日益普及的今天，企业或个人用户对私有网络的需求激增，手动配置OpenVPN不仅繁琐，还容易出错，幸运的是，通过编写脚本自动化部署，我们可以将原本需要数小时的工作压缩到几分钟内完成。

本文将为你提供一套完整的OpenVPN搭建脚本代码,并详细讲解每一步逻辑和注意事项，帮助你实现一键式部署，该脚本基于Ubuntu 20.04/22.04系统，适用于VPS（如阿里云、腾讯云、DigitalOcean等），并支持证书自动签发与客户端配置文件生成。

我们使用Bash脚本来实现整个流程,脚本包含以下核心功能：

环境准备：自动更新系统包列表，安装必要的依赖（如openvpn、easy-rsa、curl等）。
证书颁发机构（CA）创建：使用Easy-RSA工具生成CA证书及密钥。
服务器证书签发：为OpenVPN服务端生成加密证书。
DH参数生成：用于SSL/TLS握手的Diffie-Hellman密钥交换。
OpenVPN服务配置：自动生成server.conf，设置子网、DNS、防火墙规则等。
启动服务与开机自启：确保服务在系统重启后自动运行。
客户端配置文件打包：生成.ovpn格式的客户端配置文件，便于分发。

以下是脚本核心代码片段（完整脚本可在此基础上扩展）：

echo "开始OpenVPN自动化部署..."
# 1. 更新系统并安装依赖
apt update && apt install -y openvpn easy-rsa curl iptables-persistent
# 2. 初始化Easy-RSA
make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sed -i 's/^KEY_SIZE=.*$/KEY_SIZE=2048/' vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh
# 3. 配置OpenVPN服务
cp /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/
cp /etc/openvpn/easy-rsa/pki/dh.pem /etc/openvpn/
cp /etc/openvpn/easy-rsa/pki/issued/server.crt /etc/openvpn/
cp /etc/openvpn/easy-rsa/pki/private/server.key /etc/openvpn/
cat > /etc/openvpn/server.conf <<EOF
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
EOF
# 4. 启动服务并设置开机自启
systemctl enable openvpn@server
systemctl start openvpn@server
# 5. 开放防火墙端口（需提前配置iptables）
ufw allow 1194/udp
ufw reload
echo "OpenVPN服务已成功部署！"
echo "客户端配置文件请从 /etc/openvpn/client-configs/ 获取。"

⚠️ 注意事项：