在当今远程办公和分布式团队日益普及的背景下,建立一个稳定、安全的虚拟私人网络(VPN)已成为企业与个人用户的刚需,作为网络工程师,我经常被问及如何在Linux系统上搭建一套可信赖的VPN服务,本文将手把手带你从零开始,在Linux环境下部署OpenVPN,实现加密通信、访问控制与灵活配置,适用于家庭办公、远程服务器管理或小型企业内网扩展。
准备工作必不可少,你需要一台运行Linux的服务器(推荐Ubuntu 20.04 LTS或CentOS Stream 9),具备公网IP地址(或通过DDNS绑定动态IP),并确保防火墙开放UDP端口1194(OpenVPN默认端口),建议使用root权限或sudo权限执行后续操作。
第一步是安装OpenVPN及相关工具,以Ubuntu为例,运行以下命令:
sudo apt update sudo apt install openvpn easy-rsa -y
Easy-RSA用于生成证书和密钥,这是OpenVPN认证机制的核心,初始化证书颁发机构(CA):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass
这里我们跳过密码保护,适合自动化场景,然后生成服务器证书和密钥:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
客户端证书同样需要生成,每台设备独立配置:
sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
生成Diffie-Hellman参数和TLS密钥:
sudo ./easyrsa gen-dh sudo openvpn --genkey --secret ta.key
这些步骤完成后,将所有文件复制到OpenVPN配置目录,并创建主配置文件 /etc/openvpn/server.conf,示例配置如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
tls-auth ta.key 0
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3关键点说明:
server 10.8.0.0 255.255.255.0定义内部子网;push "redirect-gateway"让客户端流量走VPN;tls-auth增强防DOS攻击能力。
启用IP转发并配置iptables规则:
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -p udp --dport 1194 -j ACCEPT
启动服务:
systemctl enable openvpn@server systemctl start openvpn@server
至此,你已成功部署一个基于证书认证的OpenVPN服务器,客户端可通过.ovpn配置文件连接,文件需包含CA证书、客户端证书、密钥及服务器地址,如需图形界面管理,可搭配OpenVPN Connect或Tunnelblick等客户端工具。
本方案兼顾安全性与易用性,适合作为私有网络接入的起点,对于更高要求的场景(如多用户隔离、日志审计),可进一步集成LDAP或数据库认证模块,定期更新证书、监控日志、限制访问源IP,是保障长期安全的关键实践。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
