作为一位经验丰富的网络工程师,我经常被客户问到:“我们如何安全地让员工远程访问内部资源?”答案之一就是部署一个可靠的虚拟私人网络(VPN)服务,我将详细讲解如何在一台基于Linux的服务器上配置OpenVPN,以实现安全、稳定且可扩展的远程接入方案。

我们需要明确几个关键前提:

  1. 服务器必须具备公网IP地址,或者通过NAT映射到公网;
  2. 确保防火墙开放UDP 1194端口(OpenVPN默认端口),并根据需要调整策略;
  3. 建议使用Ubuntu或CentOS等主流发行版,便于管理与维护。

第一步:安装OpenVPN及相关工具
在Ubuntu系统中,执行以下命令安装OpenVPN和Easy-RSA(用于证书管理):

sudo apt update
sudo apt install openvpn easy-rsa -y

第二步:生成证书与密钥
使用Easy-RSA创建PKI(公钥基础设施),先初始化证书颁发机构(CA):

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

接下来为服务器生成证书:

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

然后为客户端生成证书(每个用户一张):

sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

第三步:配置OpenVPN服务端
复制示例配置文件并修改:

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
sudo nano /etc/openvpn/server.conf

关键参数设置如下:

  • port 1194:指定监听端口;
  • proto udp:使用UDP协议更高效;
  • dev tun:创建TUN设备,适合点对点连接;
  • ca ca.crtcert server.crtkey server.key:引用刚生成的证书;
  • dh dh.pem:生成Diffie-Hellman参数(运行sudo ./easyrsa gen-dh);
  • push "redirect-gateway def1 bypass-dhcp":强制客户端流量走隧道;
  • push "dhcp-option DNS 8.8.8.8":推送DNS服务器给客户端。

第四步:启动服务并设置开机自启 

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server
sudo ufw allow 1194/udp

第五步:客户端配置与分发
客户端需获取以下文件:ca.crt、client1.crt、client1.key,并创建一个.ovpn配置文件:

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
verb 3

测试连接:在Windows或Linux客户端安装OpenVPN GUI或使用命令行工具连接,验证是否能访问内网资源(如文件服务器、数据库等)。

至此,你已成功部署了一个企业级OpenVPN服务,它不仅提供加密通道,还能结合身份认证(如双因素登录)、日志审计和访问控制策略,满足大多数远程办公场景的需求,定期更新证书、监控日志、备份配置是保障长期稳定运行的关键,如果你有更高需求(如高可用、负载均衡),可以进一步集成Keepalived或HAProxy,这正是现代网络工程的核心价值:构建既安全又灵活的数字基础设施。

企业级网络部署实战,如何在Linux服务器上配置OpenVPN实现安全远程访问 第1张

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速