在当今数字化办公日益普及的背景下,企业或个人用户对远程访问内网资源的需求愈发强烈,虚拟私人网络(VPN)作为实现安全、加密远程连接的核心技术,已成为现代IT基础设施中不可或缺的一环,本文将详细介绍如何基于一台名为“03”的服务器(可理解为编号为03的物理或虚拟服务器)搭建一个稳定、安全的VPN服务,适用于中小型组织或家庭用户。
明确目标:我们希望通过搭建VPN,让外部用户能够通过互联网安全地接入内部网络,访问文件共享、数据库、Web服务等资源,同时确保通信过程不被窃听或篡改,为此,我们将采用OpenVPN这一开源且广受认可的解决方案,它支持多种认证方式(如用户名密码+证书)、跨平台兼容性高,且社区活跃,文档完善。
第一步:准备服务器环境
假设“03服务器”是一台运行Linux系统的服务器(推荐Ubuntu 20.04 LTS或CentOS Stream 9),需确保该服务器具备公网IP地址(静态IP更佳),并开放必要的端口(默认UDP 1194),建议使用SSH密钥登录以增强安全性,安装必要软件包:
sudo apt update && sudo apt install -y openvpn easy-rsa
第二步:配置PKI(公钥基础设施)
OpenVPN依赖证书进行身份验证,因此需要使用Easy-RSA工具生成CA证书、服务器证书和客户端证书,执行以下步骤:
- 复制Easy-RSA到OpenVPN目录:
sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/
- 编辑
/etc/openvpn/easy-rsa/vars文件,设置国家、组织名称等信息。 - 初始化PKI并生成CA证书:
cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass
- 生成服务器证书:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
第三步:生成客户端证书与密钥
每位用户都需要独立的客户端证书,可通过以下命令批量生成:
sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
生成后,将client1.crt、client1.key和ca.crt打包分发给客户端设备。
第四步:配置OpenVPN服务器
创建主配置文件 /etc/openvpn/server.conf,关键参数如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3注意:push "redirect-gateway"会使客户端流量全部走VPN隧道,适合内网访问;若仅需访问特定内网服务,应删除此行。
第五步:启动服务并配置防火墙
启用OpenVPN服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
配置UFW防火墙允许UDP 1194端口,并开启IP转发:
sudo ufw allow 1194/udp echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p
第六步:客户端配置与测试
将服务器证书、客户端证书及CA证书合并为.ovpn配置文件,示例内容如下:
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3在Windows、macOS或Android上导入此文件即可连接,连接成功后,可通过访问http://10.8.0.1(即OpenVPN分配的虚拟网关)测试内网连通性。
通过以上步骤,你已在“03服务器”上成功部署了一个功能完整的OpenVPN服务,它不仅提供加密通道,还能灵活控制访问权限,后续可根据需求添加双因素认证、日志审计等功能,进一步提升安全性,对于运维人员而言,掌握此类技能是构建私有云和混合办公环境的基础能力。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
