在当今数字化办公日益普及的背景下,企业或个人用户对远程访问内网资源的需求越来越强烈,OpenVPN 是一款开源、跨平台且功能强大的虚拟私人网络(VPN)解决方案,支持多种加密协议和认证方式,广泛应用于家庭网络、中小企业及大型组织的远程接入场景中,本文将详细介绍如何从零开始搭建一个稳定、安全的 OpenVPN 服务,帮助你实现安全可靠的远程访问。
第一步:准备环境
你需要一台运行 Linux 的服务器(推荐 Ubuntu 20.04 或 CentOS 7+),并确保它具有公网 IP 地址,以便外部设备能够连接,建议使用云服务商(如阿里云、腾讯云、AWS)提供的虚拟机实例,登录服务器后,更新系统包管理器:
sudo apt update && sudo apt upgrade -y
第二步:安装 OpenVPN 和 Easy-RSA
Easy-RSA 是 OpenVPN 的证书颁发机构(CA)工具,用于生成服务器和客户端证书,安装命令如下:
sudo apt install openvpn easy-rsa -y
复制 Easy-RSA 模板到 /etc/openvpn 目录下:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
第三步:配置 CA 和证书
编辑 vars 文件(位于 /etc/openvpn/easy-rsa/vars),设置你的组织信息(如国家、省份、组织名称等),然后执行以下命令生成 CA 证书和密钥:
./clean-all ./build-ca
接着生成服务器证书和密钥:
./build-key-server server
最后为每个客户端生成单独的证书(例如客户端名为 client1):
./build-key client1
同时生成 Diffie-Hellman 参数和 HMAC 签名密钥(增强安全性):
./build-dh openvpn --genkey --secret ta.key
第四步:配置 OpenVPN 服务器
创建主配置文件 /etc/openvpn/server.conf示例如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth /etc/openvpn/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3第五步:启用 IP 转发和防火墙规则
在服务器上启用 IP 转发:
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p
配置 iptables 规则以允许流量转发(假设 eth0 是外网接口):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -p udp --dport 1194 -j ACCEPT
第六步:启动 OpenVPN 服务
systemctl enable openvpn@server systemctl start openvpn@server
第七步:客户端配置
将服务器端生成的 ca.crt、client1.crt、client1.key 和 ta.key 文件打包成 .ovpn 配置文件,供客户端导入使用,客户端配置片段如下:
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
verb 3至此,OpenVPN 服务已成功搭建,你可以通过客户端连接,实现安全的远程访问内网资源,建议定期备份证书,并考虑使用动态 DNS 或域名绑定提高可用性,对于生产环境,还应部署日志监控、自动证书续签和多因素认证(如 OTP)进一步提升安全性。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
