在当今远程办公、跨地域协作日益普及的背景下,企业或个人用户对安全、稳定的网络连接需求持续增长,云主机因其高灵活性、可扩展性和成本优势,成为部署虚拟专用网络(VPN)的理想平台,本文将详细讲解如何利用云主机搭建一个基于OpenVPN的私有VPN服务,帮助你实现远程安全访问内网资源。
准备工作
你需要一台运行Linux系统的云主机(推荐Ubuntu 20.04 LTS或CentOS 7+),并确保已开通公网IP地址和必要的端口(如UDP 1194),登录服务器后,建议先更新系统软件包:
sudo apt update && sudo apt upgrade -y
接着安装OpenVPN及相关工具(以Ubuntu为例):
sudo apt install openvpn easy-rsa -y
Easy-RSA是用于生成证书和密钥的工具,是OpenVPN认证体系的核心组件。
配置证书颁发机构(CA)
OpenVPN采用SSL/TLS加密,需要一套完整的证书体系来验证客户端与服务器身份,使用Easy-RSA创建CA:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass
上述命令会生成CA根证书(ca.crt),后续所有客户端和服务器证书都将由该CA签发。
生成服务器证书和密钥
接下来为服务器生成证书:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
这将生成server.crt和server.key文件,它们是服务器身份标识的关键。
生成Diffie-Hellman参数
这是用于密钥交换的安全参数,需提前生成:
sudo ./easyrsa gen-dh
配置OpenVPN服务端
在/etc/openvpn/server.conf中添加以下关键配置(可根据实际需求调整):
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3此配置启用TUN模式、设置内部IP段(10.8.0.0/24)、自动推送DNS,并开启压缩功能以提升性能。
启动并测试
保存配置后,启动OpenVPN服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
检查状态:
sudo systemctl status openvpn@server
客户端配置
为每个用户生成单独的客户端证书(需指定用户名):
sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
将ca.crt、client1.crt、client1.key复制到本地,创建.ovpn配置文件,内容如下:
client
dev tun
proto udp
remote your-cloud-host-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3在Windows或移动设备上导入该配置即可连接。
通过以上步骤,你成功搭建了一个基于云主机的OpenVPN服务,具备良好的安全性、可扩展性和易用性,适合中小团队或个人远程办公场景,记住定期更新证书、防火墙策略和日志监控,保障长期稳定运行。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
