随着远程办公和云计算的普及,越来越多的企业和个人用户需要通过安全的方式访问云端资源,阿里云作为国内主流云服务商之一,提供了稳定高效的计算环境,而Ubuntu作为广泛使用的Linux发行版,非常适合用于部署各类网络服务,本文将详细介绍如何在阿里云Ubuntu实例上搭建一个安全、稳定的VPN服务(以OpenVPN为例),帮助用户实现远程安全接入内网或访问云上资源。
确保你已准备好一台运行Ubuntu 20.04或22.04 LTS的阿里云ECS实例,并拥有root权限或sudo权限,建议选择公网IP地址的实例,以便从外部访问,务必配置好安全组规则,开放UDP端口1194(OpenVPN默认端口)以及SSH端口(如22)用于管理。
第一步是安装OpenVPN及相关工具,登录服务器后,执行以下命令更新系统并安装所需软件包:
sudo apt update && sudo apt upgrade -y sudo apt install openvpn easy-rsa -y
使用Easy-RSA生成证书和密钥,创建证书颁发机构(CA)和服务器证书:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-dh sudo openvpn --genkey --secret ta.key
这些步骤完成后,会生成服务器所需的私钥、证书、DH参数和TLS密钥。
第二步是配置OpenVPN服务器,复制模板配置文件并编辑:
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/ sudo nano /etc/openvpn/server.conf
关键配置项包括:
port 1194:指定监听端口;proto udp:使用UDP协议提升性能;dev tun:创建TUN虚拟设备;ca,cert,key,dh,tls-auth:引用之前生成的证书和密钥路径;server 10.8.0.0 255.255.255.0:分配客户端IP段;push "redirect-gateway def1 bypass-dhcp":强制客户端流量走VPN;push "dhcp-option DNS 8.8.8.8":设置DNS服务器。
保存后启动服务并设置开机自启:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
第三步是为客户端生成证书和配置文件,在Easy-RSA目录下,生成客户端证书并打包成.ovpn文件,包含CA证书、客户端私钥、TLS密钥等信息,客户端只需导入该文件即可连接。
推荐开启防火墙策略(如ufw)并启用IP转发功能,确保流量正确路由,定期更新证书、监控日志、使用强密码策略和双因素认证可进一步提升安全性。
在阿里云Ubuntu服务器上部署OpenVPN不仅成本低、灵活性高,还能满足企业级远程访问需求,通过合理配置和安全管理,可以构建一套既高效又安全的远程网络通道,助力数字化转型与远程协作。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
