Ubuntu系统下搭建OpenVPN服务的完整教程，从安装到客户端配置详解

在当今远程办公和跨地域协作日益普及的背景下，虚拟私人网络（VPN）已成为保障网络安全、实现私有网络访问的重要工具，作为Linux操作系统中应用最广泛的发行版之一，Ubuntu因其稳定性和开源生态广受企业与个人用户的青睐，本文将详细介绍如何在Ubuntu服务器上搭建OpenVPN服务，并提供完整的配置步骤，包括服务端安装、证书生成、防火墙设置以及客户端连接配置,帮助你快速构建一个安全可靠的本地网络隧道。

准备工作
确保你拥有一台运行Ubuntu 20.04或更高版本的服务器（建议使用VPS如阿里云、腾讯云或AWS EC2），并具备root权限或sudo权限，需要一个公网IP地址用于外部访问，以及一个域名（可选但推荐，便于管理），如果服务器部署在云平台，请确认已开放必要的端口（默认为UDP 1194）。

安装OpenVPN及相关工具
打开终端，执行以下命令更新系统包列表并安装OpenVPN和Easy-RSA（用于证书管理）：

sudo apt update
sudo apt install openvpn easy-rsa -y

配置证书颁发机构（CA）
OpenVPN依赖于SSL/TLS加密，因此必须先创建证书体系，复制Easy-RSA模板到指定目录：

make-cadir ~/openvpn-ca
cd ~/openvpn-ca

编辑vars文件，设置你的组织信息（如国家、省份、组织名等）,然后生成CA密钥：

source vars
./clean-all
./build-ca

按照提示输入Common Name（MyOpenVPN-CA），完成后会生成ca.crt和ca.key文件。

生成服务器证书和密钥
继续在当前目录下执行：

./build-key-server server

输入Common Name（如server），并选择是否签署（yes），完成后生成server.crt和server.key。

生成Diffie-Hellman参数和HMAC签名密钥
这些是增强加密强度的关键步骤：

./build-dh
openvpn --genkey --secret ta.key

配置OpenVPN服务端
将生成的文件复制到OpenVPN配置目录：

sudo cp ca.crt ca.key server.crt server.key dh.pem ta.key /etc/openvpn/

创建主配置文件 /etc/openvpn/server.conf如下（可根据需求调整）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

启用IP转发和防火墙规则
开启内核IP转发功能（编辑 /etc/sysctl.conf，取消注释 net.ipv4.ip_forward=1）,并应用：

sudo sysctl -p

配置iptables允许流量转发并放行OpenVPN端口：

sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A INPUT -p udp --dport 1194 -j ACCEPT

启动服务并测试
启动OpenVPN服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

客户端配置
在客户端（Windows/macOS/Linux）下载client.ovpn配置文件，包含ca.crt、ta.key、client.crt和client.key，然后通过OpenVPN GUI或命令行连接即可。

通过以上步骤，你已在Ubuntu上成功搭建了一个基于TLS认证的OpenVPN服务，此方案安全性高、扩展性强，适合家庭网络、小型团队或远程办公场景，建议定期更新证书、监控日志并结合Fail2Ban防止暴力破解攻击,进一步提升防护能力。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN