在现代企业网络架构中,虚拟专用网络(VPN)已成为远程访问内部资源、保障数据传输安全的重要手段,作为网络工程师,掌握如何在Linux系统上配置OpenVPN服务是必备技能之一,本文将详细讲解在Ubuntu或CentOS等主流Linux发行版中,通过命令行方式配置OpenVPN服务的全过程,包括安装、生成证书、配置服务器端和客户端、启动服务以及常见问题排查。
第一步:安装OpenVPN及相关工具
以Ubuntu为例,首先更新系统包列表并安装OpenVPN和Easy-RSA(用于生成SSL/TLS证书):
sudo apt update sudo apt install openvpn easy-rsa -y
对于CentOS/RHEL系统,则使用yum或dnf:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
第二步:初始化PKI(公钥基础设施)
Easy-RSA提供了一套完整的证书管理工具,进入Easy-RSA目录并初始化:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件(nano vars),设置国家、组织、单位等信息,
set_var EASYRSA_COUNTRY "CN"
set_var EASYRSA_PROVINCE "Beijing"
set_var EASYRSA_CITY "Beijing"
set_var EASYRSA_ORG "MyCompany"
set_var EASYRSA_EMAIL "admin@mycompany.com"
set_var EASYRSA_CN "MyOpenVPNCA"然后执行以下命令生成CA根证书和服务器证书:
./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server
第三步:生成客户端证书和密钥
为每个客户端生成唯一证书:
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
第四步:配置OpenVPN服务器
创建服务器配置文件 /etc/openvpn/server.conf如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3第五步:启用IP转发并配置防火墙
确保系统允许IP转发:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
若使用ufw防火墙,添加规则:
sudo ufw allow 1194/udp sudo ufw enable
第六步:启动OpenVPN服务并测试
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
将生成的客户端配置文件(包含ca.crt、client1.crt、client1.key)打包发送给用户,并指导其使用OpenVPN客户端连接服务器。
即为Linux下配置OpenVPN服务的完整命令流程,实际部署时需根据环境调整参数,如子网掩码、DNS服务器、认证方式(可结合LDAP或证书双重验证),并定期更新证书以保障安全性,作为网络工程师,熟练掌握这些命令不仅能提升运维效率,更能为构建安全可靠的远程接入体系打下坚实基础。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
