手把手教你如何在服务器上创建VPN，从零搭建安全远程访问通道

作为一名网络工程师,我经常被问到：“怎样在自己的服务器上搭建一个安全的VPN服务？”无论是为了远程办公、保护隐私，还是实现多设备间的私有网络通信，搭建一个属于自己的VPN服务器都是一项非常实用且必要的技能，本文将带你一步步在Linux服务器（以Ubuntu为例）上配置OpenVPN，打造一个稳定、加密且可扩展的虚拟私人网络。

第一步：准备服务器环境
你需要一台公网IP的Linux服务器（如阿里云、腾讯云或AWS EC2实例），操作系统推荐使用Ubuntu 20.04或22.04 LTS版本，登录服务器后，先更新系统包列表并安装必要工具：

sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa -y

第二步：配置证书和密钥（PKI）
OpenVPN使用SSL/TLS加密，因此需要一套数字证书体系，我们用Easy-RSA工具生成CA证书、服务器证书和客户端证书，执行以下命令初始化证书目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，设置国家、省份、组织等信息（可按需修改）：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@example.com"
export KEY_OU="IT Department"

然后运行以下命令生成CA根证书和服务器证书：

./clean-all
./build-ca    # 输入“myca”作为CA名称
./build-key-server server   # 输入“server”作为服务器证书名
./build-dh     # 生成Diffie-Hellman参数

第三步：配置OpenVPN服务端
复制证书到OpenVPN配置目录，并创建主配置文件：

sudo cp /etc/openvpn/easy-rsa/keys/{ca.crt,server.crt,server.key,dh2048.pem} /etc/openvpn/
sudo nano /etc/openvpn/server.conf

在server.conf中加入以下关键配置（可根据需求调整）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

第四步：启用IP转发和防火墙规则
为了让客户端能访问外网，开启内核IP转发：

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

配置iptables规则（若使用ufw，则用ufw allow 1194/udp）：

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A INPUT -p udp --dport 1194 -j ACCEPT

第五步：启动OpenVPN服务并生成客户端配置
启动服务并设为开机自启：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

为每个客户端生成证书（示例）：

./build-key client1

将ca.crt、client1.crt、client1.key打包成.ovpn配置文件，内容如下：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

把该.ovpn文件导入你的电脑或手机OpenVPN客户端即可连接！

通过以上步骤,你已成功在服务器上部署了一个基于OpenVPN的安全远程访问通道，它不仅支持加密传输，还能实现局域网穿透、绕过地域限制等功能，建议定期更新证书、监控日志，并结合Fail2ban防止暴力破解，掌握这项技能，让你的网络更有掌控力！

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速