在当前远程办公和数据安全日益重要的背景下,通过虚拟专用网络(VPN)加密访问服务器或内部资源已成为许多企业和个人用户的刚需,Ubuntu 作为最受欢迎的 Linux 发行版之一,其稳定性和丰富的社区支持使其成为搭建 VPS(虚拟私有服务器)上 OpenVPN 服务的理想选择,本文将详细介绍如何在 Ubuntu VPS 上部署并配置 OpenVPN 服务,包括环境准备、安装、证书生成、防火墙设置以及客户端连接步骤。
确保你拥有一个已部署的 Ubuntu VPS,推荐使用 Ubuntu 20.04 LTS 或 22.04 LTS 版本,因为它们具有长期支持(LTS)特性,稳定性更高,登录你的 VPS 后,建议执行以下基础更新命令:
sudo apt update && sudo apt upgrade -y
接着安装 OpenVPN 和 Easy-RSA(用于证书管理):
sudo apt install openvpn easy-rsa -y
完成安装后,需要生成证书颁发机构(CA)和服务器证书,这一步至关重要,因为它为后续所有客户端连接提供身份验证机制,运行以下命令初始化 PKI 目录:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
然后编辑 vars 文件,根据需要修改组织名(ORG)、国家代码(KEY_COUNTRY)等信息,保存后执行:
./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server
这些命令会依次生成 CA 根证书、服务器密钥和签名后的服务器证书,复制证书到 OpenVPN 配置目录:
cp pki/ca.crt pki/private/server.key pki/issued/server.crt /etc/openvpn/
现在创建主配置文件 /etc/openvpn/server.conf,这是一个关键步骤,配置不当会导致服务无法启动,以下是推荐的基本配置内容(可根据实际需求调整):
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3注意:dh.pem 文件可通过 ./easyrsa gen-dh 生成,之后将其复制到 /etc/openvpn/。
配置完成后,启用并启动 OpenVPN 服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
OpenVPN 服务已在 UDP 1194 端口监听,如果你的 VPS 使用了 UFW 防火墙,请允许该端口:
sudo ufw allow 1194/udp
为每个客户端生成唯一证书和配置文件,使用 ./easyrsa gen-req client1 nopass 创建客户端密钥对,再用 ./easyrsa sign-req client client1 签署证书,将 ca.crt、client1.crt 和 client1.key 一并打包成 .ovpn 文件,即可供 Windows、macOS 或移动设备导入使用。
至此,你已在 Ubuntu VPS 上成功搭建了一个安全可靠的 OpenVPN 服务,具备企业级可用性与可扩展性,后续可根据业务需求添加双因素认证、IP 白名单或集成 Fail2Ban 等增强安全措施。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
