随着远程办公、跨地域访问和隐私保护需求的日益增长,越来越多的用户希望通过虚拟私人网络(VPN)来加密通信流量并绕过地理限制,对于技术爱好者或企业IT人员来说,在自己的VPS(虚拟专用服务器)上搭建一个私有VPN不仅成本低廉,而且灵活性高、安全性可控,本文将详细介绍如何在Linux系统的VPS上使用OpenVPN协议搭建一个稳定、安全的个人或小型团队用VPN服务。
你需要一台运行Linux(推荐Ubuntu 20.04 LTS或CentOS 7以上版本)的VPS,并确保它拥有公网IP地址,登录到你的VPS后,建议先更新系统软件包:
sudo apt update && sudo apt upgrade -y
接着安装OpenVPN及其依赖工具(以Ubuntu为例):
sudo apt install openvpn easy-rsa -y
Easy-RSA是一个用于生成SSL/TLS证书的工具,是构建PKI(公钥基础设施)的核心组件,我们配置证书颁发机构(CA):
-
复制Easy-RSA模板到本地目录:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
-
编辑vars文件,设置国家、省份、组织名称等信息(根据需要修改):
nano vars
-
执行脚本生成CA证书和密钥:
./clean-all ./build-ca ./build-key-server server ./build-key client1 # 为每个客户端创建独立证书 ./build-dh
完成后,你会得到一系列.pem文件,它们构成了整个加密体系的基础。
下一步是配置OpenVPN服务端,创建主配置文件 /etc/openvpn/server.conf如下(可根据实际需求调整):
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3保存后,启用IP转发功能以允许数据包通过VPS路由:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
然后配置iptables规则,让流量能正确转发:
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
最后启动OpenVPN服务:
systemctl enable openvpn@server systemctl start openvpn@server
你可以在客户端设备(Windows、Mac、Android、iOS)上导入刚刚生成的client1证书和密钥,连接到你的VPS IP地址即可建立加密隧道。
在VPS上搭建OpenVPN虽然步骤较多,但一旦完成,你可以获得完全自控的私有网络环境,适用于远程办公、家庭网络扩展或数据传输加密等多种场景,定期更新证书、限制访问权限、使用强密码策略,可以进一步提升安全性,掌握这项技能,是你迈向高级网络管理的重要一步。
半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速
