Linux VPS服务器搭建OpenVPN及多设备连接指南

在Linux VPS服务器上搭建OpenVPN，既能实现跨地域设备的安全互联，也能为远程办公、隐私保护提供可靠支持。本文将从环境准备到多设备配置，完整呈现搭建全流程，帮助新手快速掌握核心操作。

一、基础环境准备

搭建前需确保VPS服务器系统处于最新状态。通过SSH登录后，执行以下命令更新系统及依赖：

apt update && apt upgrade -y

更新完成后，安装OpenVPN主程序与证书管理工具easy-rsa：

apt install openvpn easy-rsa -y

二、证书颁发机构（CA）配置

OpenVPN依赖公钥基础设施（PKI）实现加密通信，需先搭建CA环境。创建并进入PKI目录：

make-cadir ~/openvpn-ca
cd ~/openvpn-ca

编辑`vars`文件，填写组织名称、国家代码等信息（可保持默认）。初始化PKI并生成CA证书：

./clean-all
./build-ca

按提示输入CA名称（如"my-ca"），完成后`keys`目录将生成`ca.crt`和`ca.key`。

三、服务器端证书与配置

1. 生成服务器证书与密钥

执行以下命令为服务器生成证书（名称建议用"server"）：

./build-key-server server

按提示确认信息（无需设置密码），完成后`keys`目录将新增`server.crt`和`server.key`。

2. 生成Diffie-Hellman参数

Diffie-Hellman参数用于密钥交换，生成命令如下（耗时约2-5分钟）：

./build-dh

完成后`keys`目录生成`dh2048.pem`（默认2048位）。

3. 配置OpenVPN服务

复制官方示例配置到OpenVPN目录：

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/

编辑`/etc/openvpn/server.conf`，重点修改以下内容：
- 取消`;local a.b.c.d`注释，替换`a.b.c.d`为VPS公网IP；
- 取消`;push "redirect-gateway def1 bypass-dhcp"`注释，强制客户端流量通过VPN；
- 取消`;push "dhcp-option DNS 208.67.222.222"`注释（可选其他公共DNS）；
- 检查`ca`、`cert`、`key`、`dh`路径，确保指向`keys`目录下的对应文件（如`ca ca.crt`需改为`ca /root/openvpn-ca/keys/ca.crt`）。

四、系统与网络配置

开启IP转发功能，编辑`/etc/sysctl.conf`，取消`net.ipv4.ip_forward=1`注释，执行以下命令生效：

sysctl -p

配置防火墙NAT规则，允许VPN子网流量转发：

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

五、启动服务与多设备配置

启动OpenVPN服务并设置开机自启：

systemctl start openvpn@server
systemctl enable openvpn@server

为多设备生成客户端证书（以"client1"为例）：

cd ~/openvpn-ca
./build-key client1

复制客户端示例配置并编辑`~/client.ovpn`，替换`remote`字段为公网IP，添加CA证书、客户端证书及密钥内容（从`keys`目录对应文件复制）。将生成的`.ovpn`文件发送至手机、电脑等设备，安装OpenVPN客户端后导入即可连接。

通过以上步骤，Linux VPS服务器上的OpenVPN即可支持多设备安全互联，无论是远程访问内网资源还是保护网络隐私，都能提供稳定可靠的解决方案。