或 CentOS 系统

khdsff1 2026-05-24 6 0

阿里云VPS搭建VPN实战指南：从零开始配置安全稳定的远程访问通道

在当前远程办公、跨地域协作日益普及的背景下，通过虚拟私人网络（VPN）建立加密隧道已成为企业与个人用户保障数据安全的重要手段，阿里云作为国内领先的云服务商，其VPS（虚拟专用服务器）具有高性价比、灵活配置和稳定性能等优势，是搭建私有VPN的理想平台，本文将详细介绍如何在阿里云VPS上部署OpenVPN服务，实现安全、可靠的远程访问。

第一步：准备阿里云VPS环境
首先登录阿里云控制台，创建一台ECS实例（推荐Ubuntu 20.04或CentOS 7以上版本），确保实例公网IP已分配，并在安全组中开放TCP/UDP端口（如1194用于OpenVPN，默认协议为UDP），建议使用SSH密钥登录方式增强安全性，避免密码暴力破解风险。

第二步：安装OpenVPN及相关工具
通过SSH连接到服务器后，执行以下命令更新系统并安装OpenVPN：

sudo apt update && sudo apt install openvpn easy-rsa -y  # Ubuntusudo yum install epel-release -y && sudo yum install openvpn easy-rsa -y

随后初始化证书颁发机构（CA），生成服务器证书、客户端证书及密钥文件，运行make-cadir /etc/openvpn/easy-rsa创建证书目录，再执行cd /etc/openvpn/easy-rsa并编辑vars文件，设置国家、组织名称等信息，最后执行./easyrsa init-pki和./easyrsa build-ca完成CA根证书生成。

第三步：生成服务器与客户端证书
使用./easyrsa gen-req server nopass生成服务器证书请求，接着签名：./easyrsa sign-req server server，对于每个客户端，同样生成证书请求并签名（如./easyrsa gen-req client1 nopass和./easyrsa sign-req client client1），同时生成Diffie-Hellman密钥交换参数：./easyrsa gen-dh。

第四步：配置OpenVPN服务端
复制必要文件到OpenVPN目录：

sudo cp /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/
sudo cp /etc/openvpn/easy-rsa/pki/dh.pem /etc/openvpn/
sudo cp /etc/openvpn/easy-rsa/pki/issued/server.crt /etc/openvpn/
sudo cp /etc/openvpn/easy-rsa/pki/private/server.key /etc/openvpn/

创建主配置文件 /etc/openvpn/server.conf，关键参数包括：

port 1194（监听端口）
proto udp（协议选择）
dev tun（TUN模式）
ca ca.crt、cert server.crt、key server.key（证书路径）
server 10.8.0.0 255.255.255.0（分配IP池）
push "redirect-gateway def1 bypass-dhcp"（强制客户端流量走VPN）
push "dhcp-option DNS 8.8.8.8"（指定DNS）

第五步：启动服务并配置防火墙
启用IP转发：

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

配置iptables规则允许流量转发：

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

保存规则并启动OpenVPN服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

第六步：分发客户端配置
将ca.crt、client1.crt、client1.key打包成.ovpn文件，添加如下内容：

client
dev tun
proto udp
remote your-vps-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
verb 3

客户端导入该文件即可连接。

通过以上步骤,即可在阿里云VPS上搭建一个功能完整、安全可控的OpenVPN服务，满足远程办公、内网穿透等多种需求，建议定期更新证书、监控日志，并结合Fail2ban等工具防范攻击，确保长期稳定运行。

或 CentOS 系统第1张