在现代网络环境中,远程办公、跨地域协作和云服务部署已成为常态,为了保障数据传输的安全性与隐私性,配置一个稳定可靠的服务器端VPN(虚拟私人网络)至关重要,本文将为你详细讲解如何在Linux服务器上搭建基于OpenVPN的远程访问服务,适用于中小型企业或个人开发者。
确保你拥有一台运行Ubuntu或CentOS的远程服务器,并具备root权限,推荐使用Ubuntu 20.04 LTS或更高版本,因为其软件包管理器(APT)更易维护。
第一步:安装OpenVPN及相关工具
通过SSH登录服务器后,执行以下命令更新系统并安装OpenVPN:
sudo apt update && sudo apt upgrade -y sudo apt install openvpn easy-rsa -y
Easy-RSA是用于生成证书和密钥的工具,是OpenVPN安全认证的核心组件。
第二步:配置证书颁发机构(CA)
进入Easy-RSA目录,初始化PKI环境:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,设置你的组织信息(如国家、省份、公司名等),然后执行:
./clean-all ./build-ca
这将生成CA根证书,后续所有客户端和服务器证书都需由该CA签发。
第三步:生成服务器证书和密钥
运行:
./build-key-server server
系统会提示输入密码,可选;若不设密码,则无需手动输入即可启动服务,同时生成Diffie-Hellman参数以增强加密强度:
./build-dh
第四步:配置服务器主文件
复制模板到配置目录:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
编辑/etc/openvpn/server.conf,关键修改包括:
port 1194(默认UDP端口)proto udpdev tunca ca.crtcert server.crtkey server.keydh dh.pemserver 10.8.0.0 255.255.255.0(分配给客户端的IP段)push "redirect-gateway def1 bypass-dhcp"(强制客户端流量走VPN)push "dhcp-option DNS 8.8.8.8"(指定DNS)
第五步:启用IP转发和防火墙规则
编辑/etc/sysctl.conf,取消注释:
net.ipv4.ip_forward=1
应用配置:sysctl -p
开启iptables规则(假设使用ufw):
sudo ufw allow OpenSSH sudo ufw allow 1194/udp sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
第六步:启动服务并测试
启动OpenVPN服务:
systemctl enable openvpn@server systemctl start openvpn@server
客户端可通过OpenVPN GUI或命令行连接,只需导入生成的客户端证书(使用./build-key client1生成)和CA证书、密钥文件。
至此,一个功能完整、安全可靠的服务器端VPN已成功部署,此方案支持多用户并发接入,适合远程办公、站点间互联等场景,建议定期轮换证书、监控日志、配置强密码策略,进一步提升安全性。
半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速
