作为一名网络工程师,我经常被问到:“怎样才能在家或出差时安全地访问公司内网资源?”答案之一就是部署一个属于自己的虚拟私人网络(VPN)服务,本文将详细介绍如何在Linux服务器上使用OpenVPN软件搭建一个安全、稳定且可扩展的VPN服务端,从而实现远程安全接入局域网资源。

你需要一台运行Linux系统的服务器,推荐Ubuntu 20.04或CentOS 7以上版本,确保服务器有公网IP地址,并开放UDP端口1194(OpenVPN默认端口),若使用云服务器(如阿里云、AWS、腾讯云),记得在安全组规则中放行该端口。

第一步:安装OpenVPN及相关工具
以Ubuntu为例,执行以下命令:

sudo apt update
sudo apt install openvpn easy-rsa -y

Easy-RSA用于生成证书和密钥,是OpenVPN认证体系的核心组件。

第二步:配置证书颁发机构(CA)
进入Easy-RSA目录并初始化PKI环境:

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

这里我们跳过密码保护,便于自动化部署,接下来生成服务器证书和密钥:

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

然后生成Diffie-Hellman参数和TLS密钥:

sudo ./easyrsa gen-dh
sudo openvpn --genkey --secret ta.key

第三步:配置OpenVPN服务端
复制生成的文件到OpenVPN配置目录:

sudo cp pki/ca.crt pki/private/server.key pki/issued/server.crt pki/dh.pem ta.key /etc/openvpn/

创建主配置文件 /etc/openvpn/server.conf如下(可根据实际需求调整):

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

第四步:启用IP转发与防火墙规则
编辑 /etc/sysctl.conf,取消注释:

net.ipv4.ip_forward=1

应用配置:sudo sysctl -p

设置iptables规则(假设接口为eth0):

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT

第五步:启动服务并测试 

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

为客户端生成证书(使用相同Easy-RSA流程),并将证书打包成.ovpn文件供客户端导入,常见客户端包括OpenVPN GUI(Windows)、Tunnelblick(macOS)、Android OpenVPN Connect等。

通过上述步骤,你就可以拥有一套完整的个人OpenVPN服务,实现远程安全访问内网资源,注意:务必定期更新证书、监控日志、加强密码策略,避免因配置不当导致的安全风险。

如何在Linux系统中创建一个安全的OpenVPN服务端并实现远程访问 第1张

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN