在当今数字化办公日益普及的背景下,企业与个人用户对远程访问内网资源的需求不断增长,虚拟私人网络(VPN)作为保障数据传输安全的核心技术之一,在Linux系统中部署尤为常见,本文将详细介绍如何在Linux操作系统上搭建一个稳定、安全的VPN服务,涵盖OpenVPN和WireGuard两种主流方案,帮助网络工程师快速实现远程接入。
我们以Ubuntu 22.04 LTS为例进行演示,第一步是更新系统并安装必要的工具包:
sudo apt update && sudo apt upgrade -y sudo apt install openvpn easy-rsa -y
生成证书颁发机构(CA)和服务器证书,使用Easy-RSA工具创建PKI结构:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa ./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server
这些命令会生成用于身份认证的数字证书,确保客户端与服务器之间的加密通信可信,之后,配置OpenVPN服务器主文件 /etc/openvpn/server.conf,核心参数包括:
port 1194:指定监听端口(可改为其他如443以规避防火墙)proto udp:使用UDP协议提升性能dev tun:创建点对点隧道接口ca,cert,key,dh:指定证书路径server 10.8.0.0 255.255.255.0:分配内部IP地址段push "redirect-gateway def1 bypass-dhcp":强制客户端流量通过VPN出口
配置完成后,启动服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
客户端可通过OpenVPN GUI或命令行连接,需下载服务器证书、密钥及配置文件(.ovpn),此方案适合大多数场景,尤其适用于需要兼容旧设备或复杂网络拓扑的企业环境。
对于追求更高性能和更低延迟的用户,推荐使用WireGuard,它基于现代密码学设计,代码更简洁、效率更高,安装WireGuard:
sudo apt install wireguard resolvconf
创建配置文件 /etc/wireguard/wg0.conf,示例如下:
[Interface] Address = 10.0.0.1/24 PrivateKey = <服务器私钥> ListenPort = 51820 [Peer] PublicKey = <客户端公钥> AllowedIPs = 10.0.0.2/32
启用IP转发并配置防火墙规则:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p ufw allow 51820/udp
客户端只需配置对应公钥即可连接,整个过程简单高效,适合移动设备或高并发场景。
Linux系统提供了强大且灵活的VPN搭建能力,无论是选择成熟稳定的OpenVPN,还是轻量高效的WireGuard,都能满足不同规模和安全等级的需求,网络工程师应根据实际业务场景、性能要求和运维复杂度综合评估,合理选型并持续优化配置,从而构建一个既安全又可靠的远程访问体系。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
