在当今数字化办公日益普及的背景下,企业或个人用户对远程访问内部资源的需求显著增长,阿里云作为国内领先的云计算服务提供商,提供了稳定、高效且安全的服务器环境,通过在阿里云ECS(弹性计算服务)上部署VPN服务器,可以实现安全、加密的远程访问,保障数据传输不被窃取或篡改,本文将详细介绍如何在阿里云服务器上搭建一个基于OpenVPN的VPN服务器,适用于家庭办公、远程运维及企业分支机构接入等场景。
第一步:准备阿里云服务器
登录阿里云控制台,创建一台ECS实例,建议选择Ubuntu 20.04 LTS或CentOS 7以上版本的操作系统,确保网络连通性良好,配置时注意以下几点:
- 安全组规则需开放UDP 1194端口(OpenVPN默认端口),同时允许SSH连接(22端口)用于管理。
- 使用密钥对登录方式提升安全性,避免密码暴力破解风险。
第二步:安装与配置OpenVPN
登录服务器后,执行如下命令安装OpenVPN及相关工具:
sudo apt update && sudo apt install openvpn easy-rsa -y
初始化证书颁发机构(CA)和服务器证书:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-dh
生成客户端证书:
sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
第三步:配置OpenVPN服务
复制生成的证书文件到OpenVPN目录,并创建主配置文件 /etc/openvpn/server.conf:
port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/pki/ca.crt cert /etc/openvpn/easy-rsa/pki/issued/server.crt key /etc/openvpn/easy-rsa/pki/private/server.key dh /etc/openvpn/easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun status /var/log/openvpn-status.log verb 3
第四步:启用IP转发与防火墙规则
修改 /etc/sysctl.conf 文件,取消注释 net.ipv4.ip_forward=1,并执行 sysctl -p 生效,然后设置iptables规则:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT sudo iptables -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT
第五步:启动服务并分发客户端配置
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
将客户端证书、密钥和配置文件打包为.ovpn文件,分发给用户使用,客户端只需导入该文件即可连接至阿里云上的VPN服务器。
通过上述步骤,你可以在阿里云ECS上成功搭建一个功能完整的OpenVPN服务器,这种方式不仅成本低、易于维护,还能满足中小型企业或个人用户的远程办公需求,务必定期更新证书、加强服务器安全策略(如使用fail2ban防暴力破解),才能构建更健壮的远程访问体系。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
