手把手教你如何在本地网络中创建一个安全的点对点VPN连接

作为一名网络工程师,我经常被问到：“怎样才能在家办公时安全地访问公司内网资源？”或者“我想远程控制家里的NAS设备，但又担心公网暴露风险。”答案就是——搭建一个属于自己的点对点（P2P）虚拟私人网络（VPN），本文将详细介绍如何利用开源工具OpenVPN在本地环境中创建一个简单但可靠的个人VPN服务，适合家庭用户、远程办公人员或小型企业部署。

你需要准备以下硬件和软件环境：

• 一台运行Linux（推荐Ubuntu Server 22.04 LTS）的服务器或树莓派；
• 一个静态公网IP地址（可通过动态DNS服务如No-IP或DynDNS解决）；
• 一台用于客户端连接的设备（Windows、macOS、Android或iOS均可）；
• 基本的Linux命令行操作能力。

第一步：安装OpenVPN服务端 登录你的Linux服务器后，使用以下命令更新系统并安装OpenVPN：

sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa -y

第二步：配置证书颁发机构（CA） Easy-RSA是OpenVPN用来生成SSL/TLS证书的工具，执行以下命令初始化CA目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo cp vars.example vars

编辑vars文件，修改组织名称（如ORG="MyHomeVPN"），然后运行：

sudo ./clean-all
sudo ./build-ca

这会生成根证书（ca.crt），它是后续所有连接信任的基础。

第三步：生成服务器和客户端证书 继续执行：

sudo ./build-key-server server
sudo ./build-key client1

这两个命令分别生成服务器证书（server.crt）和客户端证书（client1.crt），以及对应的私钥。

第四步：生成Diffie-Hellman密钥参数

sudo ./build-dh

第五步：配置OpenVPN服务器 创建配置文件 /etc/openvpn/server.conf如下（可根据需求调整端口、协议等）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

第六步：启动服务并设置开机自启

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

第七步：客户端配置 将ca.crt、client1.crt、client1.key三个文件打包发送到客户端设备，并使用OpenVPN客户端软件导入配置文件（.ovpn示例：

client
dev tun
proto udp
remote your-public-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

完成后,客户端点击连接即可建立加密隧道，实现安全远程访问局域网资源。

注意：为保证安全性，请定期更新证书、禁用默认端口、启用防火墙规则（如ufw允许1194/udp），并避免在公共Wi-Fi下直接连接，这样，你就能拥有一个既灵活又安全的私有网络通道了！

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速