在当前云计算广泛应用的时代,Amazon Web Services(AWS)作为全球领先的云服务平台,为开发者和企业提供了强大的虚拟私有服务器(VPS)资源,许多用户希望通过在 AWS EC2 实例上部署 OpenVPN 服务来实现远程安全访问内网资源、保护数据传输隐私或搭建企业级远程办公网络,本文将详细介绍如何在 Amazon VPS(EC2 实例)上完成 OpenVPN 的配置全过程,包括系统准备、证书生成、服务安装、防火墙设置及客户端连接测试,帮助你快速搭建一个稳定、安全的虚拟私人网络。
你需要登录 AWS 控制台并创建一台 EC2 实例,建议选择 Ubuntu Server 20.04 LTS 或 Amazon Linux 2 镜像,因为它们对 OpenVPN 的支持成熟且文档丰富,确保实例的默认安全组允许以下端口入站:TCP 22(SSH)、UDP 1194(OpenVPN 默认端口),以及如果你使用 HTTPS 管理界面,则需开放 TCP 443,注意:不要暴露 SSH 到公网,应通过密钥认证并通过堡垒主机(Jump Host)访问。
在 EC2 实例中通过 SSH 登录后,执行以下步骤:
-
更新系统并安装必要软件包
sudo apt update && sudo apt upgrade -y sudo apt install openvpn easy-rsa -y
-
初始化 PKI(公钥基础设施)环境
复制 Easy-RSA 工具到/etc/openvpn并初始化:make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa cp vars.example vars
编辑
vars文件,设置组织名称(如ORG="MyCompany")、国家代码(KEY_COUNTRY="CN")等信息,以保证证书唯一性和安全性。 -
生成 CA 证书和服务器证书
执行:./clean-all ./build-ca # 创建根证书颁发机构 ./build-key-server server # 创建服务器证书 ./build-dh # 生成 Diffie-Hellman 参数
这些步骤会生成用于身份验证和加密的核心文件。
-
配置 OpenVPN 服务端
创建主配置文件/etc/openvpn/server.conf如下:port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/pki/ca.crt cert /etc/openvpn/easy-rsa/pki/issued/server.crt key /etc/openvpn/easy-rsa/pki/private/server.key dh /etc/openvpn/easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 cipher AES-256-CBC auth SHA256 user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3此配置启用 TUN 模式、自动分配 IP、推送 DNS 和路由重定向,适合远程办公场景。
-
启动并设置开机自启
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
-
配置 AWS 安全组与 IP 转发
在 EC2 控制台的安全组中添加规则允许 UDP 1194 入站,同时启用 IP 转发(在实例属性中设置Source/Destination Check为 false),否则无法转发流量。 -
生成客户端证书与配置文件
使用./build-key client1生成客户端证书,并将 CA、客户端证书、密钥打包成.ovpn文件供客户端导入。
测试连接:在 Windows、macOS 或 Linux 上安装 OpenVPN GUI 或命令行工具,导入 .ovpn 文件即可连接,如果出现连接失败,请检查日志 /var/log/syslog 或 journalctl -u openvpn@server 获取错误信息。
通过以上步骤,你可以在 Amazon VPS 上成功部署一个高可用、加密可靠的 OpenVPN 服务,满足远程办公、多分支机构互联或安全访问内部资源的需求,记住定期更新证书和补丁,才能保持网络长期安全运行。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
