首页 / VPN翻墙 / Linux系统下配置VPN的完整指南，从基础到进阶实践

Linux系统下配置VPN的完整指南，从基础到进阶实践

khdsff1 2026-03-25 3 0

在当今远程办公和跨地域协作日益普遍的背景下，虚拟私人网络（VPN）已成为保障数据安全与访问权限的重要工具，作为网络工程师，我经常需要在Linux服务器或桌面环境中部署和管理VPN服务，本文将详细介绍如何在Linux系统中配置常见的OpenVPN和WireGuard两种主流协议，涵盖安装、配置、防火墙设置及故障排查,帮助你快速搭建稳定可靠的私有网络连接。

以OpenVPN为例，OpenVPN是开源且广泛支持的SSL/TLS协议实现，兼容性强，适合大多数Linux发行版（如Ubuntu、CentOS、Debian等），第一步是安装OpenVPN软件包，在基于Debian/Ubuntu的系统上,执行：

sudo apt update && sudo apt install openvpn easy-rsa -y

使用easy-rsa生成证书和密钥，这是OpenVPN身份认证的核心机制,运行以下命令初始化PKI环境：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass  # 创建根证书颁发机构
./easyrsa gen-req server nopass  # 生成服务器证书请求
./easyrsa sign-req server server  # 签署服务器证书
./easyrsa gen-dh  # 生成Diffie-Hellman参数

完成后，复制生成的文件到OpenVPN配置目录，并创建主配置文件/etc/openvpn/server.conf,示例关键配置如下：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

启动服务并设置开机自启：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

接下来是防火墙配置,确保iptables或firewalld允许UDP端口1194并通过NAT转发流量：

sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

如果使用WireGuard，它比OpenVPN更轻量、性能更高，特别适合移动设备和低延迟场景，安装wireguard-tools后，通过wg-quick脚本即可快速部署，在服务器端创建/etc/wireguard/wg0.conf：

[Interface]
PrivateKey = <server_private_key>
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <client_public_key>
AllowedIPs = 10.0.0.2/32

客户端同样需生成密钥对并配置连接信息，可使用图形界面工具（如WireGuard GUI）或命令行wg-quick up wg0启动。

建议定期更新证书、监控日志（journalctl -u openvpn@server）、测试连通性（ping、traceroute）并启用日志轮转，对于企业级部署，还可结合LDAP或RADIUS进行用户认证,进一步提升安全性。

通过上述步骤，无论你是个人用户还是运维人员，都能在Linux环境下灵活、安全地配置和管理自己的VPN服务，掌握这些技能，意味着你不仅能在日常工作中解决实际问题,更能为组织构建更健壮的网络基础设施。

Linux系统下配置VPN的完整指南，从基础到进阶实践第1张