首页 >半仙加速器

手把手教你设置VPN服务器,从零开始搭建安全远程访问通道

半仙加速器 2026-05-10 10:57:50 10 0

在当今远程办公、分布式团队和数据安全日益重要的背景下,配置一个属于自己的VPN(虚拟私人网络)服务器已成为许多企业和个人用户的刚需,通过搭建自己的VPN服务器,不仅可以实现安全的远程访问内网资源,还能有效避免公共网络带来的数据泄露风险,本文将详细介绍如何从零开始设置一台基于OpenVPN协议的Linux服务器作为VPN服务端,并提供Windows客户端连接步骤。

准备工作

  1. 一台运行Linux系统的服务器(推荐Ubuntu 20.04或CentOS 7以上版本)。
  2. 一个公网IP地址(若为家庭宽带,需确认是否支持端口映射)。
  3. 域名(可选,用于更稳定的连接,如使用DDNS动态域名解析)。
  4. 确保防火墙允许UDP 1194端口(OpenVPN默认端口)或自定义端口。

安装与配置OpenVPN服务器
以Ubuntu为例,打开终端执行以下命令:

sudo apt update
sudo apt install openvpn easy-rsa -y

接下来生成证书和密钥(这是SSL/TLS加密的基础):

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo cp vars.example vars

编辑vars文件,设置国家、组织名称等基本信息(如CN=China, O=MyCompany),然后执行:

sudo ./clean-all
sudo ./build-ca    # 生成根证书
sudo ./build-key-server server     # 生成服务器证书
sudo ./build-key client1   # 生成客户端证书(可多用户)
sudo ./build-dh       # 生成Diffie-Hellman参数

配置OpenVPN服务端
创建主配置文件:

sudo nano /etc/openvpn/server.conf

添加如下关键配置(根据实际环境调整):

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

启用IP转发并配置防火墙
确保服务器能转发流量:

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

配置iptables规则(示例):

sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

启动服务并测试 

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

客户端连接(Windows)
下载OpenVPN GUI for Windows,将生成的client1.crtclient1.keyca.crtta.key合并成一个.ovpn配置文件,内容示例如下:

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
verb 3

保存后导入OpenVPN客户端即可连接。

注意事项

  • 定期更新证书和密钥,防止泄露。
  • 使用强密码保护私钥文件(建议用passphrase)。
  • 若公网IP不固定,建议结合DDNS服务。
  • 生产环境中建议使用证书吊销列表(CRL)管理用户权限。

通过以上步骤,你已成功搭建了一个功能完整、安全性高的自建VPN服务器,这不仅提升了远程访问的安全性,也为后续扩展更多网络服务(如内网穿透、多分支互联)打下坚实基础。

手把手教你设置VPN服务器,从零开始搭建安全远程访问通道

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速

如果没有特点说明,本站所有内容均由半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速原创,转载请注明出处!