在当今数字化时代,网络安全和隐私保护已成为每个互联网用户不可忽视的重要议题,无论是家庭网络、小型办公室,还是远程办公场景,使用虚拟私人网络(VPN)都能有效加密数据传输、隐藏真实IP地址并绕过地理限制,而树莓派(Raspberry Pi)因其低成本、低功耗、高扩展性,成为搭建私有VPN服务器的理想平台,本文将详细介绍如何在树莓派上部署一个稳定可靠的OpenVPN服务,让你随时随地安全访问内网资源。
准备工作必不可少,你需要一台运行Raspberry Pi OS(推荐使用最新版的Raspberry Pi OS Lite,无图形界面以节省资源)的树莓派设备,以及一根稳定的电源适配器、SD卡(至少16GB)、网线或Wi-Fi模块,确保树莓派已联网,并通过SSH或本地终端登录系统。
第一步是更新系统并安装必要软件包,执行以下命令:
sudo apt update && sudo apt upgrade -y sudo apt install openvpn easy-rsa -y
openvpn 是核心服务组件,easy-rsa 用于生成证书和密钥,这是建立SSL/TLS加密通道的基础。
第二步是配置OpenVPN服务器,进入EasyRSA目录并初始化PKI环境:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass # 创建根证书颁发机构(CA) sudo ./easyrsa gen-req server nopass # 生成服务器证书请求 sudo ./easyrsa sign-req server server # 签署服务器证书 sudo ./easyrsa gen-dh # 生成Diffie-Hellman参数 sudo cp pki/ca.crt pki/private/ca.key pki/dh.pem /etc/openvpn/
第三步,创建OpenVPN服务器配置文件 /etc/openvpn/server.conf如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
auth SHA256
tls-auth ta.key 0
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3第四步,启用IP转发功能,编辑 /etc/sysctl.conf,取消注释:
net.ipv4.ip_forward=1然后应用设置:
sudo sysctl -p
第五步,配置防火墙规则,若使用iptables,添加NAT规则让客户端流量通过树莓派访问外网:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i tun0 -o eth0 -j ACCEPT sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
启动OpenVPN服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
至此,你的树莓派已成功变身VPN服务器,只需为每个用户生成客户端证书(使用 easyrsa gen-req client1 nopass 和 easyrsa sign-req client client1),并将相关文件打包成.ovpn配置文件分发给用户即可。
这样,无论你在世界哪个角落,只要连接到这个树莓派VPN,就能安全访问家中NAS、摄像头、路由器等内网设备,同时避免公共Wi-Fi带来的风险,这不仅提升了个人数字生活品质,也为家庭和小型企业提供了成本低廉、灵活可控的网络安全方案。
半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速
