Linux下VPN服务器的安装与配置，从零搭建安全远程访问通道

在当今数字化办公日益普及的时代,企业或个人用户常常需要通过公网安全地访问内网资源，虚拟私人网络（VPN）作为实现这一目标的核心技术之一，在Linux系统中部署尤为灵活且成本低廉，本文将详细介绍如何在Linux服务器上安装和配置OpenVPN服务，从而构建一个稳定、安全的远程访问通道。

确保你的Linux服务器运行的是主流发行版,如Ubuntu Server 20.04 LTS或CentOS Stream 8，推荐使用Ubuntu，因其社区支持广泛、文档丰富，适合初学者快速上手。

第一步是更新系统并安装必要的软件包,以Ubuntu为例，执行以下命令：

sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa -y

openvpn 是核心服务程序，easy-rsa 提供证书签发工具，用于实现TLS加密认证。

第二步,生成PKI（公钥基础设施）密钥对，这是保障通信安全的关键步骤，进入Easy-RSA目录并初始化：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo cp vars.example vars

编辑 vars 文件，根据实际需求修改国家、组织等字段，例如设置 KEY_COUNTRY="CN"、KEY_PROVINCE="Beijing" 等，以确保证书信息准确。

执行以下命令生成CA根证书和服务器证书：

sudo ./clean-all
sudo ./build-ca    # 生成CA证书，需输入相关信息
sudo ./build-key-server server   # 生成服务器证书
sudo ./build-key client1         # 生成客户端证书（可为多个）
sudo ./build-dh                  # 生成Diffie-Hellman参数

第三步,配置OpenVPN主文件，创建 /etc/openvpn/server.conf 文件，并添加如下基础配置：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

此配置启用UDP协议（性能优于TCP），分配私有IP段给客户端，并推送DNS和路由规则，使客户端流量自动走VPN隧道。

第四步,启用IP转发和防火墙规则，编辑 /etc/sysctl.conf，取消注释：

net.ipv4.ip_forward=1

执行 sudo sysctl -p 生效，然后配置iptables规则：

sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

若使用firewalld（如CentOS），可用 firewall-cmd --add-masquerade --permanent 并重启服务。

启动OpenVPN服务并设置开机自启：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

至此,服务器端已成功部署，客户端可通过OpenVPN GUI或命令行连接，导入证书文件（包含.crt, .key, .ovpn配置文件）即可接入，建议定期更新证书、监控日志、加强防火墙策略，以提升整体安全性。

Linux下的OpenVPN不仅功能强大,而且开源免费，适合中小型企业或个人用户搭建专属安全网络通道，掌握其配置流程，不仅能提升网络管理能力，也为构建更复杂的混合云架构打下坚实基础。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN