Linux VPS搭建OpenVPN私有网络：配置到连接全指南

网络安全意识提升的当下，通过Linux VPS服务器搭建OpenVPN私有网络，能为数据传输和远程访问构建一道可靠的安全屏障。本文将从环境准备到客户端连接，手把手带你完成这一技术实践。

前置准备：硬件与软件清单

搭建前需确认三项基础条件：首先是一台运行Linux系统的VPS服务器（需获取root权限）；其次要开放UDP 1194端口（OpenVPN默认通信端口）；最后需在本地计算机安装OpenVPN客户端（可从官方网站下载适配各系统的版本）。值得注意的是，选择支持7×24技术支持的VPS服务商，后续配置中遇到证书生成或端口冲突等问题时，能快速获得专业协助。

核心步骤：从安装到服务启动

第一步：安装关键工具

通过SSH登录VPS服务器后，先更新软件包列表：

apt update

接着安装OpenVPN服务端和EasyRSA（用于证书管理的工具）：

apt install openvpn easy-rsa

第二步：配置证书体系

创建PKI（公钥基础设施）环境存放证书：

make-cadir ~/openvpn-ca
cd ~/openvpn-ca

编辑`vars`文件设置证书信息（根据实际情况修改）：

set_var EASYRSA_REQ_COUNTRY    "CN"
set_var EASYRSA_REQ_PROVINCE   "Guangdong"
set_var EASYRSA_REQ_CITY       "Shenzhen"
set_var EASYRSA_REQ_ORG        "Personal"
set_var EASYRSA_REQ_EMAIL      "your@email.com"

依次执行以下命令生成证书链：

./easyrsa init-pki          # 初始化PKI
./easyrsa build-ca nopass   # 生成CA证书（无密码）
./easyrsa gen-req server nopass  # 生成服务器证书请求
./easyrsa sign-req server server  # 签名服务器证书
./easyrsa gen-dh            # 生成Diffie-Hellman参数
openvpn --genkey --secret ta.key  # 生成HMAC密钥

第三步：配置OpenVPN服务

将生成的证书复制到OpenVPN配置目录：

cp pki/ca.crt pki/private/server.key pki/issued/server.crt dh.pem ta.key /etc/openvpn/server/

解压并修改示例配置文件：

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/server/
cd /etc/openvpn/server/
gunzip server.conf.gz

编辑`server.conf`确保以下关键参数正确（重点检查IP段和DNS设置）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key 
dh dh.pem
server 10.8.0.0 255.255.255.0  # 客户端分配的IP段
push "redirect-gateway def1 bypass-dhcp"  # 强制流量走VPN
push "dhcp-option DNS 114.114.114.114"  # 国内常用DNS
keepalive 10 120
comp-lzo
user nobody
group nogroup
tls-auth ta.key 0

第四步：开启网络转发与防火墙

编辑`/etc/sysctl.conf`启用IP转发（取消该行注释）：

net.ipv4.ip_forward=1

执行`sysctl -p`使配置生效。随后配置防火墙规则允许VPN流量：

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

若需持久化规则，安装`iptables-persistent`：

apt install iptables-persistent

第五步：启动并验证服务

启动OpenVPN服务并设置开机自启：

systemctl start openvpn@server
systemctl enable openvpn@server

通过`systemctl status openvpn@server`检查服务运行状态，确认无报错后进入客户端配置阶段。

客户端连接：从证书生成到实际使用

生成客户端配置

创建客户端配置目录并复制示例文件：

mkdir -p ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf

编辑`base.conf`修改远程服务器IP（替换为你的VPS公网IP）：

remote your_vps_ip 1194

生成客户端证书（以用户`client1`为例）：

cd ~/openvpn-ca
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

运行脚本生成`.ovpn`配置文件：

cd ~/client-configs
./make_config.sh client1

完成连接测试

将`client1.ovpn`文件下载到本地，用OpenVPN客户端导入后点击连接。首次连接可能需要1-2分钟完成握手，成功后可通过`ifconfig`查看是否获得`10.8.0.x`段IP，或访问IP检测网站验证出口IP是否为VPS地址。

整个搭建过程中，Linux VPS服务器的稳定性直接影响VPN的连接质量。建议选择支持全球CDN加速的VPS方案，不仅能降低跨区域连接延迟，更能保障视频会议、文件传输等场景的流畅性。掌握这一技能后，无论是远程访问家庭NAS，还是为团队构建安全的内部网络，都能轻松应对。