在当今远程办公与分布式团队日益普及的背景下,安全、稳定的虚拟私人网络(VPN)已成为企业与个人用户不可或缺的基础设施,Linux作为服务器端最稳定、灵活的操作系统之一,是部署OpenVPN等开源VPN服务的理想平台,本文将详细介绍如何在Linux系统上从零开始搭建一个功能完整的OpenVPN服务,涵盖环境准备、证书生成、配置文件编写、防火墙设置及客户端连接等关键步骤。
确保你拥有一个运行Linux(如Ubuntu 22.04或CentOS Stream)的服务器,并具备root权限,推荐使用Ubuntu,因其包管理工具apt更易用,且社区支持丰富,安装OpenVPN和Easy-RSA(用于生成SSL/TLS证书)非常简单:
sudo apt update && sudo apt install openvpn easy-rsa -y
配置证书颁发机构(CA),进入Easy-RSA目录并初始化PKI环境:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,设置国家、组织名等信息,然后执行:
./easyrsa init-pki ./easyrsa build-ca nopass
这一步会生成CA证书,是后续所有客户端和服务端证书的基础,接着生成服务器证书:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
再为客户端生成证书(每台设备需单独生成),
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
证书完成后,复制到OpenVPN配置目录:
cp pki/ca.crt pki/issued/server.crt pki/private/server.key /etc/openvpn/
创建主配置文件/etc/openvpn/server.conf,示例核心内容如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3注意:dh.pem可通过./easyrsa gen-dh生成,它是密钥交换的重要组成部分。
配置完后,启用IP转发并设置iptables规则,使流量能正确路由:
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
最后启动OpenVPN服务:
systemctl enable openvpn@server systemctl start openvpn@server
客户端可通过.ovpn文件连接,该文件包含证书、密钥、服务器地址和加密参数,通过此方式,用户可在任意设备上安全访问内网资源,实现跨地域的无缝接入。
整个过程虽看似复杂,但一旦掌握,即可快速复用至多台服务器,满足中小型企业对私有网络的安全需求,Linux + OpenVPN组合,既经济又可靠,是现代网络架构中值得信赖的选择。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
