在当今远程办公和分布式团队日益普及的背景下,构建一个稳定、安全的虚拟私人网络(VPN)已成为企业和个人用户的刚需,Ubuntu作为最流行的Linux发行版之一,凭借其开源特性、良好的社区支持和强大的网络功能,成为搭建自建VPN服务的理想平台,本文将详细介绍如何在Ubuntu系统上搭建一个基于OpenVPN的本地VPN服务,涵盖环境准备、安装配置、客户端连接以及安全加固等关键步骤。
确保你的Ubuntu服务器已更新至最新版本,打开终端,运行以下命令:
sudo apt update && sudo apt upgrade -y
安装OpenVPN及其依赖包:
sudo apt install openvpn easy-rsa -y
easy-rsa是用于生成SSL/TLS证书和密钥的工具,对建立安全加密通道至关重要。
下一步是配置证书颁发机构(CA),复制EasyRSA模板目录并初始化:
make-cadir ~/openvpn-ca cd ~/openvpn-ca sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass
这里我们选择不设置CA密码(nopass),便于自动化部署,但在生产环境中建议使用强密码保护。
接下来生成服务器证书和密钥:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
然后生成Diffie-Hellman参数以增强密钥交换安全性:
sudo ./easyrsa gen-dh
配置OpenVPN服务器主文件,创建 /etc/openvpn/server.conf 文件,并加入以下基本配置:
port 1194
proto udp
dev tun
ca /home/youruser/openvpn-ca/pki/ca.crt
cert /home/youruser/openvpn-ca/pki/issued/server.crt
key /home/youruser/openvpn-ca/pki/private/server.key
dh /home/youruser/openvpn-ca/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth /home/youruser/openvpn-ca/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3配置完成后,启用IP转发功能以允许数据包通过服务器路由:
echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf sudo sysctl -p
启动OpenVPN服务并设置开机自启:
sudo systemctl start openvpn-server@server sudo systemctl enable openvpn-server@server
至此,服务器端已成功部署,客户端可通过导入证书、私钥和配置文件连接,推荐使用OpenVPN Connect客户端,或手动配置Windows/macOS/Linux客户端。
为保障安全,还应考虑:启用防火墙规则(如UFW)、限制访问端口、定期更新证书、启用日志监控,开放UDP 1194端口:
sudo ufw allow 1194/udp
通过以上步骤,你可以在Ubuntu上快速搭建一个安全、可扩展的自建VPN服务,满足远程访问、隐私保护和内网穿透等多种需求,对于有更高要求的用户,还可进一步集成WireGuard或结合Cloudflare Tunnel实现更灵活的网络架构。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
