作为一名网络工程师,在当前云服务普及的背景下,使用VPS(虚拟专用服务器)进行开发、部署或远程办公已成为常见需求,若想在VPS上构建一个既安全又稳定的远程访问通道,OpenVPN 是一个成熟且开源的选择,本文将详细介绍如何在基于 Debian 的 VPS 上安装和配置 OpenVPN,以实现安全的点对点加密通信。
确保你的 VPS 已经安装了最新版本的 Debian 系统(推荐使用 Debian 11 或 12),登录到服务器后,建议先更新系统包列表:
sudo apt update && sudo apt upgrade -y
安装 OpenVPN 和 Easy-RSA(用于证书管理):
sudo apt install openvpn easy-rsa -y
安装完成后,需要初始化 PKI(公钥基础设施),这是证书生成的基础,进入 Easy-RSA 目录并执行以下命令:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件,设置证书颁发机构(CA)的基本信息,如国家、组织等。
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@mycompany.com" export KEY_OU="IT Dept"
然后执行初始化脚本:
./easyrsa init-pki ./easyrsa build-ca
为服务器生成证书和密钥:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
为客户端生成证书(可多个):
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
所有证书生成完成后,复制相关文件到 OpenVPN 配置目录:
cp pki/ca.crt pki/private/server.key pki/issued/server.crt /etc/openvpn/ cp pki/issued/client1.crt pki/private/client1.key /etc/openvpn/
创建主配置文件 /etc/openvpn/server.conf如下(可根据实际需求调整):
port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3
注意:需提前运行 openvpn --genkey --secret dh.pem 生成 Diffie-Hellman 参数。
启动 OpenVPN 服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
开启 IP 转发功能以支持客户端访问外网:
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p
至此,你已在 Debian VPS 上成功搭建了 OpenVPN 服务,客户端只需导入证书文件(client1.crt、client1.key、ca.crt)和配置文件即可连接,整个过程符合企业级安全标准,适用于远程办公、跨地域访问内网资源等场景,作为网络工程师,掌握此类技能能显著提升运维效率与安全性。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
