手把手教你配置VPN服务器，从零搭建安全远程访问通道

在当今远程办公和分布式团队日益普及的背景下，虚拟私人网络（VPN）已成为企业与个人保障网络安全、实现跨地域访问的重要工具，作为网络工程师，我经常被问到：“如何搭建一个稳定、安全的VPN服务器？”本文将为你提供一份详尽的教程，涵盖从环境准备到最终测试的全过程，适用于Linux系统（以Ubuntu为例）,使用OpenVPN作为核心协议。

第一步：环境准备
确保你有一台运行Linux的服务器（推荐Ubuntu 20.04或更高版本），并具备公网IP地址，若使用云服务（如阿里云、AWS、腾讯云等），需配置安全组规则允许UDP端口1194（OpenVPN默认端口）通过，登录服务器后,执行以下命令更新系统：

sudo apt update && sudo apt upgrade -y

第二步：安装OpenVPN与Easy-RSA
OpenVPN是开源、灵活且广泛支持的VPN解决方案,使用以下命令安装：

sudo apt install openvpn easy-rsa -y

Easy-RSA用于生成证书和密钥，是构建PKI（公钥基础设施）的核心工具。

第三步：初始化证书颁发机构（CA）
创建证书目录结构：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，设置国家、组织等信息（根据实际填写）：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"
export KEY_CN=server
export KEY_NAME=server
export KEY_OU=MyCompany

执行初始化和生成CA证书：

./clean-all
./build-ca

第四步：生成服务器证书和密钥

./build-key-server server

第五步：生成客户端证书（可为多个用户生成）

./build-key client1

第六步：生成Diffie-Hellman参数
这是加密通信的关键部分，耗时较长,请耐心等待：

./build-dh

第七步：配置OpenVPN服务器
复制模板配置文件：

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
sudo gzip -d /etc/openvpn/server.conf.gz

编辑/etc/openvpn/server.conf,关键配置如下：

• port 1194：指定端口
• proto udp：使用UDP协议（性能更优）
• dev tun：使用TUN设备（三层隧道）
• ca ca.crt
• cert server.crt
• key server.key
• dh dh.pem
• server 10.8.0.0 255.255.255.0：分配给客户端的IP段
• push "redirect-gateway def1 bypass-dhcp"：强制客户端流量走VPN
• push "dhcp-option DNS 8.8.8.8"：推送DNS服务器
• keepalive 10 120：心跳检测
• cipher AES-256-CBC：加密算法
• auth SHA256：认证算法

第八步：启用IP转发和防火墙规则
编辑/etc/sysctl.conf,取消注释：

net.ipv4.ip_forward=1

应用更改：

sudo sysctl -p

配置iptables（或ufw）：

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i tun0 -j ACCEPT
sudo iptables -A FORWARD -s 10.8.0.0/24 -i eth0 -j ACCEPT

第九步：启动服务并设置开机自启

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

第十步：分发客户端配置文件 保存为client.ovpn文件,并分发给客户端：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
verb 3

客户端导入此文件即可连接，建议定期更新证书和密钥,加强安全性。

通过以上步骤，你已成功搭建了一个功能完整、安全可靠的OpenVPN服务器，持续监控日志（/var/log/openvpn.log）、备份证书和定期更新固件，是维护长期稳定运行的关键，如需更高性能，可考虑使用WireGuard替代OpenVPN,但OpenVPN依然是学习和部署的理想选择。

半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速