手把手教你搭建OpenVPN服务，从零开始构建安全远程访问通道

在当今数字化办公日益普及的背景下，企业或个人用户对远程访问内网资源的需求持续增长，OpenVPN作为一个开源、灵活且高度安全的虚拟专用网络（VPN）解决方案，因其跨平台支持、强大的加密机制和可定制性强等特点，成为许多网络工程师首选的部署工具，本文将详细介绍如何从零开始搭建一套完整的OpenVPN服务，涵盖环境准备、证书生成、配置文件编写、防火墙设置以及客户端连接测试等关键步骤。

我们需要准备一台运行Linux系统的服务器，推荐使用Ubuntu 20.04 LTS或CentOS Stream 9等稳定版本，确保服务器具备公网IP地址，并能通过SSH远程管理,安装前请更新系统包列表并升级所有软件包：

sudo apt update && sudo apt upgrade -y

接下来安装OpenVPN及相关依赖组件，以Ubuntu为例,执行以下命令：

sudo apt install openvpn easy-rsa -y

easy-rsa是用于生成数字证书和密钥的工具集，是OpenVPN认证体系的核心，完成安装后，我们进入证书签发流程，默认情况下，EasyRSA配置文件位于 /usr/share/easy-rsa/，建议复制一份到自定义目录，如 /etc/openvpn/easy-rsa/ 并初始化PKI环境：

sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
cd /etc/openvpn/easy-rsa/
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

这一步会创建一个本地CA（证书颁发机构），无需输入密码,接着生成服务器证书和密钥：

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

然后为客户端生成证书（每台设备一个）：

sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

完成后，将生成的证书和密钥拷贝至OpenVPN配置目录（/etc/openvpn/server/），包括 ca.crt、server.crt、server.key 和 dh.pem（Diffie-Hellman参数），若未生成dh.pem,请运行：

sudo ./easyrsa gen-dh

现在配置OpenVPN服务端主文件，创建 /etc/openvpn/server/server.conf示例如下：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
auth SHA256
tls-auth ta.key 0
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

注意：tls-auth 是额外的安全层,需先生成：

openvpn --genkey --secret ta.key

随后启用IP转发功能，在 /etc/sysctl.conf 中添加：

net.ipv4.ip_forward=1

并应用更改：

sudo sysctl -p

配置iptables规则以允许流量通过隧道接口,并设置NAT转发：

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i tun0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

保存规则并重启OpenVPN服务：

sudo systemctl enable openvpn-server@server
sudo systemctl start openvpn-server@server

至此，OpenVPN服务已成功搭建，客户端可通过下载证书文件（client1.crt、client1.key、ca.crt、ta.key）及配置 .ovpn 文件连接,典型的客户端配置如下：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
verb 3

将此文件保存为 client1.ovpn 后，使用OpenVPN GUI或命令行导入即可建立安全隧道。

OpenVPN不仅提供加密通信，还能实现细粒度访问控制与日志审计，合理规划网络拓扑、严格管理证书生命周期，是保障其长期稳定运行的关键，对于希望掌握基础网络安全技能的网络工程师而言,搭建OpenVPN是一项极具价值的实践任务。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速