在当今数字化时代,网络安全和隐私保护已成为每个人不可忽视的问题,无论是远程办公、访问内网资源,还是绕过地理限制浏览内容,一个稳定可靠的虚拟私人网络(VPN)服务都显得尤为重要,而Ubuntu作为最受欢迎的Linux发行版之一,因其开源、稳定、易用的特点,成为搭建个人或企业级VPN服务器的理想选择,本文将带你一步步完成基于Ubuntu的OpenVPN服务器部署,助你构建属于自己的加密通信通道。
确保你拥有一台运行Ubuntu 20.04或更高版本的服务器(可以是云主机如阿里云、腾讯云或本地物理机),登录服务器后,建议先更新系统包列表:
sudo apt update && sudo apt upgrade -y
接着安装OpenVPN及其依赖组件:
sudo apt install openvpn easy-rsa -y
Easy-RSA是用于生成证书和密钥的工具,是OpenVPN认证体系的核心,复制Easy-RSA模板到/etc/openvpn目录:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,设置你的国家、组织名称等基本信息(可按需修改):
nano vars
然后初始化PKI(公钥基础设施)并生成根证书:
./easyrsa init-pki ./easyrsa build-ca
接下来生成服务器证书和密钥:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
再生成客户端证书(每新增一个用户都要重复此步骤):
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
完成后,将生成的证书和密钥复制到OpenVPN配置目录:
cp pki/ca.crt pki/private/server.key pki/issued/server.crt /etc/openvpn/ cp pki/ca.crt pki/issued/client1.crt pki/private/client1.key /etc/openvpn/
现在创建OpenVPN服务器主配置文件:
sudo nano /etc/openvpn/server.conf
示例如下(可根据需求调整端口、协议、加密方式):
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3注意:你需要提前生成ta.key(使用openvpn --genkey --secret ta.key),并在配置中指定路径。
配置完成后,启用IP转发并设置iptables规则以允许流量通过:
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
最后启动OpenVPN服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
至此,你的Ubuntu OpenVPN服务器已成功上线!客户端只需导入证书、配置文件(包含CA、客户端证书、私钥和TA密钥),即可连接,推荐使用OpenVPN官方客户端(Windows/macOS/Linux均可支持),或使用WireGuard替代方案(性能更优,但配置略有不同)。
通过本教程,你不仅掌握了一个实用的网络技能,还获得了对数据传输安全的深刻理解,无论你是开发者、远程工作者,还是关注隐私的普通用户,自建VPN都能让你在网络世界中拥有更多主动权,合法合规地使用技术才是真正的“自由”。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
