在当前云计算和远程办公日益普及的背景下,为你的 Ubuntu VPS(虚拟私有服务器)配置一个稳定、安全的 VPN(虚拟私人网络)服务,是提升远程访问安全性与灵活性的重要手段,本文将详细介绍如何在 Ubuntu 系统上部署 OpenVPN,帮助你建立一个可信赖的加密隧道,实现对内网资源的安全访问。
确保你的 VPS 已安装 Ubuntu Server(推荐使用 20.04 LTS 或 22.04 LTS),并具备公网 IP 地址,登录到服务器后,建议执行以下基础操作:
-
系统更新
sudo apt update && sudo apt upgrade -y
-
安装 OpenVPN 和 Easy-RSA
OpenVPN 是开源且广泛使用的 VPN 协议,Easy-RSA 用于管理证书和密钥。sudo apt install openvpn easy-rsa -y
-
初始化证书颁发机构(CA)
复制 Easy-RSA 模板到本地目录:make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑
vars文件,根据需要修改默认参数(如国家、组织名等),然后生成 CA 密钥对:./easyrsa init-pki ./easyrsa build-ca nopass
-
生成服务器证书和密钥
./easyrsa gen-req server nopass ./easyrsa sign-req server server
-
生成 Diffie-Hellman 参数
这是用于密钥交换的关键步骤,耗时较长但必须完成:./easyrsa gen-dh
-
生成客户端证书(每个用户需单独生成)
例如为用户 client1 创建证书:./easyrsa gen-req client1 nopass ./easyrsa sign-req client1 client1
-
配置 OpenVPN 服务器
复制模板文件并编辑/etc/openvpn/server.conf:cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/ nano /etc/openvpn/server.conf
修改关键参数如下:
port 1194(可自定义)proto udpdev tunca /etc/openvpn/easy-rsa/pki/ca.crtcert /etc/openvpn/easy-rsa/pki/issued/server.crtkey /etc/openvpn/easy-rsa/pki/private/server.keydh /etc/openvpn/easy-rsa/pki/dh.pemserver 10.8.0.0 255.255.255.0push "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 8.8.8.8"
-
启用 IP 转发与防火墙规则
启用内核转发:echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p
配置 iptables 规则以允许流量转发(如使用 ufw,也可用
ufw allow OpenSSH并添加ufw allow 1194/udp):iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
-
启动并设置开机自启
systemctl enable openvpn@server systemctl start openvpn@server
将客户端配置文件(包含证书、密钥、CA 信息)分发给用户,即可通过 OpenVPN 客户端连接到你的 VPS,此方案不仅支持多用户并发接入,还能结合 TLS 加密和客户端认证机制,确保数据传输的安全性。
通过以上步骤,你可以轻松在 Ubuntu VPS 上搭建一个企业级 OpenVPN 服务,满足远程办公、跨网络访问等需求,同时为未来扩展(如集成 WireGuard 或使用管理面板)打下良好基础。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
