首页 / VPN翻墙 / Linux系统中配置OpenVPN服务的完整指南，从安装到安全优化

Linux系统中配置OpenVPN服务的完整指南，从安装到安全优化

khdsff1 2026-04-02 6 0

在现代网络环境中，虚拟私人网络（VPN）已成为远程办公、跨地域访问和数据加密传输的重要工具，对于Linux用户而言，OpenVPN是一个开源且功能强大的选择，它不仅支持多种认证方式，还能灵活配置以满足不同场景需求，本文将详细介绍如何在Linux系统（以Ubuntu 22.04为例）上部署和配置OpenVPN服务，包括服务器端安装、证书生成、客户端配置以及安全优化建议。

第一步：安装OpenVPN与Easy-RSA
更新系统并安装OpenVPN及相关依赖包：

sudo apt update
sudo apt install openvpn easy-rsa -y

Easy-RSA是用于生成SSL/TLS证书和密钥的工具,是OpenVPN安全通信的核心组件。

第二步：初始化PKI（公钥基础设施）
复制Easy-RSA模板到指定目录，并初始化证书颁发机构（CA）：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，设置国家、组织等信息（如CN=China, O=MyCompany）,然后执行以下命令生成CA证书：

./easyrsa init-pki
./easyrsa build-ca nopass

第三步：生成服务器证书和密钥
为服务器生成证书和密钥对：

./easyrsa gen-req server nopass
./easyrsa sign-req server server

第四步：生成Diffie-Hellman参数
这是用于密钥交换的安全参数,建议使用2048位以上：

./easyrsa gen-dh

第五步：配置OpenVPN服务器
创建服务器配置文件 /etc/openvpn/server.conf如下：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

第六步：启用IP转发与防火墙规则
确保系统允许IP转发,并配置iptables或ufw：

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p

若使用ufw：

sudo ufw allow 1194/udp
sudo ufw enable

第七步：启动并测试服务
启动OpenVPN服务并设为开机自启：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

第八步：客户端配置
在客户端（如另一台Linux机器）生成客户端证书：

cd /etc/openvpn/easy-rsa
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

将ca.crt、client1.crt、client1.key下载至客户端，创建配置文件client.ovpn：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

使用命令连接：