作为一名网络工程师,我经常被问到:“如何在自己的服务器上快速搭建一个安全可靠的VPN服务?”尤其是在远程办公、访问内网资源或保护隐私流量时,一个稳定、加密的虚拟私人网络(VPN)是不可或缺的工具,我将带你一步步使用OpenVPN在Linux系统中搭建一个基于证书认证的点对点VPN服务,并提供完整的命令行操作步骤。

确保你的服务器运行的是Ubuntu 20.04或CentOS 7以上版本的Linux发行版,我们以Ubuntu为例,前提是你已经拥有root权限或sudo权限。

第一步:安装OpenVPN和Easy-RSA(用于生成证书)

sudo apt update
sudo apt install openvpn easy-rsa -y

这会安装OpenVPN服务及用于管理SSL/TLS证书的Easy-RSA工具包。

第二步:初始化PKI(公钥基础设施)

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

接着编辑vars文件(可用nano或vim),设置国家、省份、组织名称等信息:

nano vars

根据实际情况填写):

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"
export KEY_OU="IT Department"

保存后执行:

source ./vars
./clean-all
./build-ca

这一步会创建根证书颁发机构(CA),提示输入密码和Common Name(如“myca”)。

第三步:生成服务器证书和密钥

./build-key-server server

按提示输入密码,确认是否签发证书。

第四步:生成客户端证书(可为多个用户分别生成)

./build-key client1

第五步:生成Diffie-Hellman参数(用于密钥交换)

./build-dh

第六步:配置OpenVPN服务端

复制模板并编辑主配置文件:

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
nano /etc/openvpn/server.conf

关键配置项(根据实际需求调整):

  • port 1194(默认UDP端口)
  • proto udp
  • dev tun
  • ca ca.crt
  • cert server.crt
  • key server.key
  • dh dh.pem
  • server 10.8.0.0 255.255.255.0(分配给客户端的IP段)
  • push "redirect-gateway def1 bypass-dhcp"
  • push "dhcp-option DNS 8.8.8.8"

第七步:启用IP转发与防火墙规则

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p

配置iptables(允许流量转发):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

最后启动服务:

systemctl enable openvpn@server
systemctl start openvpn@server

至此,你已成功搭建了一个基于证书认证的OpenVPN服务!客户端只需将ca.crtclient1.crtclient1.key打包成.ovpn配置文件,即可连接,建议定期更新证书并加强日志监控,确保网络安全。

合法合规使用VPN,遵守所在国家或地区的法律法规,才是负责任的网络工程师应有的态度。

掌握网络自由,Linux环境下搭建OpenVPN的完整命令指南 第1张

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速