在当今分布式办公和远程运维日益普及的背景下,为服务器提供安全、稳定的远程访问能力变得至关重要,Ubuntu Server 作为广泛使用的 Linux 发行版之一,其稳定性和社区支持使其成为部署虚拟私人网络(VPN)服务的理想平台,本文将详细介绍如何在 Ubuntu Server 上部署 OpenVPN 服务,实现安全、加密的远程访问,适用于企业员工远程办公或系统管理员远程维护。
确保你的 Ubuntu Server 已安装并更新至最新版本,可通过以下命令完成基础环境准备:
sudo apt update && sudo apt upgrade -y
安装 OpenVPN 和 Easy-RSA(用于证书管理):
sudo apt install openvpn easy-rsa -y
Easy-RSA 是一个用于生成数字证书和密钥的工具,是 OpenVPN 安全通信的核心组件,安装完成后,需要初始化证书颁发机构(CA)环境:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件以配置证书参数(如国家、组织名称等),建议修改如下字段:
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@example.com" export KEY_OU="IT Department"
然后执行以下命令生成 CA 证书和密钥:
./clean-all ./build-ca
这一步会生成 ca.crt 和 ca.key,它们是后续所有客户端和服务器证书的基础信任根。
下一步是生成服务器证书和密钥:
./build-key-server server
系统会提示你确认是否签名此证书,输入 yes 并按回车,随后,OpenVPN 还需要一个 Diffie-Hellman 参数文件来增强加密强度:
./build-dh
服务器证书已就绪,接下来创建 OpenVPN 的配置文件,通常放在 /etc/openvpn/server.conf,可使用以下模板:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3该配置启用 UDP 协议、分配私有 IP 段(10.8.0.0/24)、推送 DNS 设置,并开启压缩以提升传输效率。
配置完成后,启动 OpenVPN 服务并设置开机自启:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
OpenVPN 服务已在端口 1194 上运行,但还需要配置防火墙规则(若使用 UFW):
sudo ufw allow 1194/udp sudo ufw reload
为客户端生成证书,在 /etc/openvpn/easy-rsa 目录下执行:
./build-key client1
将 ca.crt、client1.crt、client1.key 三个文件打包发送给客户端,客户端需安装 OpenVPN 客户端软件(Windows、macOS、Linux 均有官方支持),并创建 .ovpn 配置文件,内容参考:
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3保存为 client1.ovpn 后导入客户端即可连接。
至此,一套完整的基于 Ubuntu Server 的 OpenVPN 网络已经搭建完成,具备良好的安全性、灵活性与可扩展性,它不仅满足远程办公需求,还可用于跨地域内网穿透、云主机间安全通信等场景,对于网络工程师而言,掌握此类技能有助于构建更健壮、可审计的 IT 基础设施。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
