云主机如何设置VPN，从零开始搭建安全远程访问通道

在当今数字化办公和分布式部署日益普及的背景下，企业或个人用户越来越依赖云主机来托管应用、存储数据和提供服务，直接通过公网IP访问云主机存在安全隐患，比如未授权访问、中间人攻击或端口扫描等风险，为解决这一问题，配置一个安全可靠的虚拟私人网络（VPN）成为必不可少的步骤，本文将详细介绍如何在云主机上搭建基于OpenVPN的服务，帮助你实现加密、匿名且安全的远程访问。

准备工作至关重要，你需要一台运行Linux系统的云主机（如Ubuntu 20.04或CentOS 7），并确保其已安装SSH客户端工具，登录云主机后，建议先更新系统软件包：

sudo apt update && sudo apt upgrade -y   # Ubuntu/Debian

或

sudo yum update -y   # CentOS/RHEL

安装OpenVPN及相关工具,以Ubuntu为例：

sudo apt install openvpn easy-rsa -y

easy-rsa是用于生成证书和密钥的工具，是构建PKI（公钥基础设施）的核心组件。

初始化证书颁发机构（CA）,进入EasyRSA目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，设置国家、省份、组织等信息，

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"

接下来生成CA证书和密钥：

./easyrsa init-pki
./easyrsa build-ca nopass

这里使用nopass表示不设置密码，便于自动化启动,但生产环境中建议设置强密码。

生成服务器证书和密钥：

./easyrsa gen-req server nopass
./easyrsa sign-req server server

之后，生成客户端证书（可为多个设备生成）：

./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

完成证书生成后,复制必要的文件到OpenVPN配置目录：

cp pki/ca.crt pki/private/server.key pki/issued/server.crt /etc/openvpn/

现在创建OpenVPN服务器配置文件 /etc/openvpn/server.conf如下：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

注意：dh.pem需要单独生成，命令为 ./easyrsa gen-dh，完成后复制到/etc/openvpn/目录。

配置完成后,启动OpenVPN服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

在防火墙上开放UDP 1194端口（云服务商控制台需放行该端口）,并在客户端导入证书和配置文件即可连接。

至此，你已成功在云主机上搭建了一个完整的OpenVPN服务，不仅保障了远程访问的安全性，还具备良好的扩展性和管理能力，对于企业用户而言,还可结合LDAP或双因素认证进一步增强安全性。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速