作为一位网络工程师,我经常被客户或团队成员问到如何在云服务器上快速部署一个安全可靠的虚拟私有网络(VPN)服务,DigitalOcean 是一个广受欢迎的云平台,其稳定性和易用性使其成为许多开发者和中小企业的首选,本文将详细介绍如何在 DigitalOcean 的 Droplet(虚拟机)上安装并配置 OpenVPN,从而构建一个私密、加密的远程访问通道。
你需要创建一个 DigitalOcean Droplet,推荐使用 Ubuntu 20.04 或 22.04 LTS 版本,因为它们具有良好的社区支持和稳定的软件包管理,登录你的 DigitalOcean 控制台后,点击“Create” > “Droplets”,选择合适的区域(建议与你目标用户所在地区相近以降低延迟),选择至少 1GB 内存的实例,并启用 IPv6(可选但推荐),完成后,你会收到一台新的 Linux 服务器 IP 地址和 root 密码。
通过 SSH 登录服务器(如:ssh root@your_droplet_ip),更新系统包列表并安装必要的工具:
apt update && apt upgrade -y apt install -y openvpn easy-rsa
OpenVPN 本身提供加密隧道,而 Easy-RSA 是用于生成证书和密钥的工具链,我们接下来要创建一个证书颁发机构(CA),这是整个加密体系的核心,执行以下命令初始化 PKI(公钥基础设施):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件,设置国家、组织名称等信息,然后运行:
./easyrsa init-pki ./easyrsa build-ca ./easyrsa gen-req server nopass ./easyrsa sign-req server server ./easyrsa gen-dh
这些步骤会生成服务器证书、私钥和 Diffie-Hellman 参数,现在配置 OpenVPN 主文件,复制示例配置并修改:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/ nano /etc/openvpn/server.conf
关键配置项包括:
port 1194(默认端口,可根据需要更改)proto udp(UDP 更适合大多数场景)dev tunca ca.crtcert server.crtkey server.keydh dh.pemserver 10.8.0.0 255.255.255.0(分配给客户端的IP段)push "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 8.8.8.8"
保存后,启用 IP 转发(重要!):
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p
启动 OpenVPN 并设置开机自启:
systemctl enable openvpn-server@server systemctl start openvpn-server@server
如果你打算为客户端生成证书,可在服务器上继续使用 Easy-RSA 生成客户端证书(./easyrsa gen-req client1 nopass 和 ./easyrsa sign-req client client1)。
至此,你已成功在 DigitalOcean 上搭建了一个功能完整的 OpenVPN 服务,客户端只需导入证书和配置文件即可连接,务必注意防火墙规则(如 UFW 或 Cloud Firewall)开放 UDP 1194 端口,并定期更新证书以保障安全性,这个方案适用于远程办公、跨地域内网访问或保护公共 Wi-Fi 中的数据传输——是现代网络安全实践的重要一环。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
