在当今数字化办公日益普及的背景下,远程访问内网资源已成为企业与个人用户的刚需,作为Linux领域最流行的发行版之一,Ubuntu因其稳定性、安全性与丰富的开源生态,成为许多网络工程师首选的操作系统,而OpenVPN作为一种开源、跨平台的虚拟私人网络(VPN)解决方案,其在Ubuntu上的部署与管理既灵活又高效,本文将详细介绍如何在Ubuntu系统中安装、配置并优化OpenVPN服务,确保用户能够安全、稳定地进行远程访问。
准备工作必不可少,你需要一台运行Ubuntu 20.04或更高版本的服务器(推荐使用Ubuntu Server),具备公网IP地址,并提前开放防火墙端口(默认UDP 1194),若使用云服务商(如阿里云、AWS等),还需配置安全组规则以允许该端口通信。
第一步是安装OpenVPN及相关工具,打开终端,执行以下命令:
sudo apt update sudo apt install openvpn easy-rsa -y
easy-rsa用于生成证书和密钥,这是OpenVPN认证机制的核心,复制EasyRSA模板到/etc/openvpn目录:
sudo make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,设置你的组织信息(如国家、省份、组织名),然后初始化PKI(公钥基础设施):
./easyrsa init-pki ./easyrsa build-ca
随后,为服务器生成证书和密钥:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
为客户端生成证书(每台客户端需单独生成):
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
下一步是配置OpenVPN服务器,创建配置文件 /etc/openvpn/server.conf如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3启用IP转发功能,使客户端能访问内网:
echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf sudo sysctl -p
启动OpenVPN服务并设置开机自启:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
客户端方面,将生成的证书文件(client1.crt、client1.key、ca.crt、ta.key)打包成.ovpn配置文件,即可在Windows、macOS或移动设备上使用OpenVPN客户端连接。
通过以上步骤,你不仅搭建了一个基于Ubuntu的OpenVPN服务器,还掌握了从证书管理到路由策略的完整配置流程,这种方案适用于小型企业、远程办公或家庭网络扩展,兼具安全性与可维护性,作为网络工程师,熟练掌握此类技能,是构建健壮网络架构的关键一步。
半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速
