在当今数字化办公和远程协作日益普及的背景下,如何安全、高效地访问私有网络资源成为许多开发者和企业用户的刚需,DigitalOcean 作为全球领先的云基础设施平台,提供了稳定可靠的虚拟服务器(VPS),而通过在其上部署 OpenVPN,你可以轻松构建一个加密的虚拟专用网络(VPN)服务,实现对内网资源的安全访问,本文将为你详细讲解如何在 DigitalOcean 的 Ubuntu 服务器上搭建并配置 OpenVPN,帮助你打造属于自己的私有网络隧道。
第一步:准备 DigitalOcean 服务器
在 DigitalOcean 控制台中创建一台 Ubuntu 20.04 或 22.04 LTS 的 Droplet(虚拟机),建议选择至少 1GB 内存的配置,以确保 OpenVPN 能够流畅运行,设置好 SSH 密钥登录后,通过终端连接到服务器(例如使用命令 ssh root@your_droplet_ip)。
第二步:安装 OpenVPN 和 Easy-RSA
在服务器上执行以下命令更新系统并安装必要软件包:
apt update && apt upgrade -y apt install openvpn easy-rsa -y
Easy-RSA 是用于生成证书和密钥的工具,OpenVPN 依赖它来建立 TLS 加密通信。
第三步:初始化 PKI(公钥基础设施)
复制 Easy-RSA 模板文件到 /etc/openvpn/easy-rsa/ 目录,并编辑配置文件:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa nano vars
在 vars 文件中,根据你的需求修改国家代码(C)、省份(ST)、组织名称(ORG)等字段,然后执行:
./easyrsa init-pki ./easyrsa build-ca
这一步会生成根证书(ca.crt),是后续所有客户端和服务器认证的基础。
第四步:生成服务器证书和密钥
继续执行:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
之后生成 Diffie-Hellman 参数(增强安全性):
./easyrsa gen-dh
第五步:配置 OpenVPN 服务
创建主配置文件 /etc/openvpn/server.conf如下(可根据需要调整端口、协议等):
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3第六步:启用 IP 转发与防火墙规则
编辑 /etc/sysctl.conf,取消注释 net.ipv4.ip_forward=1,然后执行 sysctl -p 生效,再配置 UFW 防火墙:
ufw allow 1194/udp ufw enable
第七步:启动 OpenVPN 并测试
运行:
systemctl start openvpn@server systemctl enable openvpn@server
为客户端生成配置文件(需下载 ca.crt、client.crt、client.key 到本地设备),即可在 Windows、macOS 或移动设备上使用 OpenVPN 客户端连接。
通过以上步骤,你已成功在 DigitalOcean 上搭建了一个安全、可扩展的 OpenVPN 服务,不仅可用于远程办公,还能作为内网穿透方案,提升数据传输的安全性与灵活性,记住定期更新证书、监控日志,并结合 Fail2Ban 等工具加强防护,让您的数字资产始终处于保护之中。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
