在当今高度数字化的工作环境中,企业与个人用户对数据安全和远程访问的需求日益增长,虚拟服务器(如云主机、VPS)因其灵活性、可扩展性和成本效益,已成为部署关键业务应用的理想选择,裸机或默认配置的虚拟服务器往往缺乏必要的安全防护机制,通过设置虚拟专用网络(VPN)不仅能够加密通信流量,还能实现安全远程管理、跨地域办公和私有网络连接,本文将详细介绍如何在Linux虚拟服务器上搭建一个稳定、安全的OpenVPN服务,适用于中小型企业或个人开发者。
准备工作必不可少,你需要一台运行Linux(推荐Ubuntu 20.04或CentOS Stream 9)的虚拟服务器,并确保拥有root权限,需准备一个公网IP地址(静态IP更佳),并开放UDP端口1194(OpenVPN默认端口),若使用云服务商(如阿里云、AWS、DigitalOcean),请在安全组中放行该端口,建议提前配置好防火墙(如UFW或firewalld)以增强安全性。
安装阶段,以Ubuntu为例,执行以下命令安装OpenVPN及相关工具:
sudo apt update && sudo apt install openvpn easy-rsa -y
生成PKI证书基础设施,运行:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass # 创建根证书颁发机构(CA) sudo ./easyrsa gen-req server nopass # 生成服务器证书请求 sudo ./easyrsa sign-req server server # 签署服务器证书 sudo ./easyrsa gen-req client1 nopass # 为客户端生成证书(可多客户端) sudo ./easyrsa sign-req client client1
完成证书签发后,复制密钥文件至OpenVPN配置目录:
sudo cp pki/ca.crt pki/private/server.key pki/issued/server.crt /etc/openvpn/
接下来是核心配置,创建主配置文件/etc/openvpn/server.conf示例如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3push "redirect-gateway"指令使客户端流量自动通过VPN隧道,实现“全网关”保护;dhcp-option DNS指定DNS服务器,避免泄露本地解析请求。
启动服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
分发客户端配置文件,创建客户端配置(如client1.ovpn)并包含证书信息,用户只需导入即可连接,为提升安全性,建议启用双因素认证(如Google Authenticator)或定期轮换证书。
通过以上步骤,你已在虚拟服务器上成功部署了企业级OpenVPN服务,这不仅能保障远程办公的数据隐私,还为后续搭建站点间互联(如Site-to-Site VPN)奠定基础,定期更新软件版本、监控日志、限制访问源IP,是维持长期安全的关键。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
