Linux系统下配置OpenVPN实现安全远程访问详解

dfbn6 2026-04-02 VPN翻墙 16 0

在当今数字化办公日益普及的背景下,企业与个人用户对远程访问内部资源的需求不断增长,Linux作为服务器端和开发环境的首选操作系统,其强大的网络功能和开源特性使其成为部署虚拟专用网络(VPN)的理想平台,本文将详细介绍如何在Linux系统中配置OpenVPN,以实现安全、稳定的远程访问。

确保你的Linux系统已安装OpenVPN服务,以Ubuntu或Debian为例,可通过以下命令安装:

sudo apt update
sudo apt install openvpn easy-rsa

对于CentOS/RHEL系统,则使用:

sudo yum install epel-release
sudo yum install openvpn easy-rsa

安装完成后,需要生成证书和密钥,这是OpenVPN身份认证的核心,使用Easy-RSA工具包可简化这一过程,进入Easy-RSA目录并初始化PKI(公钥基础设施):

cd /usr/share/easy-rsa/
sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/
sudo nano /etc/openvpn/easy-rsa/vars  # 编辑变量文件,设置国家、组织等信息

然后执行以下命令生成CA证书、服务器证书和客户端证书:

sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass  # 创建根证书颁发机构(CA)
sudo ./easyrsa gen-req server nopass  # 生成服务器密钥
sudo ./easyrsa sign-req server server  # 签署服务器证书
sudo ./easyrsa gen-req client1 nopass  # 为客户端生成密钥
sudo ./easyrsa sign-req client client1  # 签署客户端证书

配置OpenVPN服务器,创建主配置文件 /etc/openvpn/server.conf如下:

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

配置完成后,启用IP转发并配置iptables规则以允许流量通过:

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

启动OpenVPN服务:

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

至此,服务器端配置完成,客户端只需将CA证书、客户端证书和密钥打包成.ovpn配置文件,并使用OpenVPN客户端连接即可,在Windows或macOS上,可以使用OpenVPN GUI客户端导入该配置文件进行连接。

通过上述步骤,你可以在Linux系统上成功搭建一个基于OpenVPN的安全远程访问通道,此方案具备良好的扩展性、灵活性和安全性,适合中小企业及个人开发者部署,建议定期更新证书、监控日志并结合防火墙策略进一步加固网络安全。

Linux系统下配置OpenVPN实现安全远程访问详解

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN