Linux系统中配置OpenVPN实现安全远程访问的完整指南

在当今数字化办公日益普及的背景下，企业与个人用户对安全、稳定远程访问的需求愈发强烈，Linux作为服务器和开发环境的首选操作系统，其强大的网络功能使其成为搭建虚拟私人网络（VPN）的理想平台，本文将详细介绍如何在Linux系统上配置OpenVPN服务，实现安全可靠的远程访问，适用于家庭办公、远程运维或跨地域团队协作场景。

确保你的Linux系统已安装最新版本的操作系统（如Ubuntu 22.04 LTS或CentOS Stream），进入终端后,使用以下命令更新软件包列表并安装OpenVPN及相关依赖：

sudo apt update && sudo apt install openvpn easy-rsa -y

若你使用的是基于RPM的发行版（如CentOS）,则使用：

sudo dnf install openvpn easy-rsa -y

配置证书颁发机构（CA）和服务器证书，Easy-RSA工具是OpenVPN推荐的证书管理工具，执行以下步骤初始化PKI（公钥基础设施）：

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
sudo cp -r /usr/share/easy-rsa/* .
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

这里我们不设置CA密码以简化自动化部署流程,下一步生成服务器证书：

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

然后生成Diffie-Hellman密钥交换参数和TLS认证密钥（用于增强安全性）：

sudo ./easyrsa gen-dh
sudo openvpn --genkey --secret ta.key

完成证书生成后,复制所有关键文件到OpenVPN配置目录：

sudo cp pki/ca.crt pki/issued/server.crt pki/private/server.key dh.pem ta.key /etc/openvpn/

现在创建服务器配置文件 /etc/openvpn/server.conf如下（可根据实际需求调整）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

保存后启用IP转发（允许数据包通过）：

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

启动OpenVPN服务并设置开机自启：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

客户端配置方面，可使用OpenVPN图形界面客户端（如OpenVPN Connect）或命令行工具，将上述生成的 ca.crt、ta.key 和客户端证书（需单独生成）打包为 .ovpn 文件,并导入客户端设备即可连接。

通过以上步骤，你已在Linux服务器上成功部署了一个安全、稳定的OpenVPN服务，它不仅支持多用户并发接入，还能通过加密隧道保护数据传输安全，是远程办公和IT运维的可靠解决方案，建议结合防火墙规则（如UFW或firewalld）限制访问端口,进一步提升安全性。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速