在当今远程办公和分布式团队日益普及的背景下,建立一个稳定、安全且易于管理的虚拟私人网络(VPN)已成为企业和个人用户的基本需求,DigitalOcean 作为全球领先的云服务平台,提供了简单易用的虚拟机(Droplet)部署能力,非常适合用来搭建自定义的 OpenVPN 或 WireGuard 等开源 VPN 服务,本文将详细介绍如何在 DigitalOcean 上快速搭建一个功能完整的、基于 OpenVPN 的私有网络连接,适用于远程访问公司内网、保护家庭网络流量或实现跨地域数据加密传输。
你需要登录 DigitalOcean 账户并创建一个新的 Droplet(虚拟机),推荐选择 Ubuntu 22.04 LTS 或 Debian 11 操作系统,因为它们具有良好的社区支持和稳定性,在创建过程中,建议选择至少 1GB 内存和 25GB SSD 存储的配置,这样可以确保 OpenVPN 服务流畅运行,同时留出足够空间用于日志记录和证书管理。
创建完成后,通过 SSH 登录到你的 Droplet(可使用终端命令 ssh root@your-digitalocean-ip),然后更新系统包列表:
apt update && apt upgrade -y
接下来安装 OpenVPN 和 Easy-RSA(用于生成数字证书和密钥):
apt install openvpn easy-rsa -y
安装完成后,复制 Easy-RSA 示例配置到 /etc/openvpn/easy-rsa/ 目录,并初始化 PKI(公钥基础设施):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa cp vars.example vars
编辑 vars 文件,设置你的组织名称、国家代码、省份等信息(如 export KEY_COUNTRY="CN"),然后执行以下命令生成 CA(证书颁发机构)和服务器证书:
./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server
接着生成客户端证书和密钥,例如为名为 client1 的用户生成证书:
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
复制服务器证书、CA 证书和密钥到 OpenVPN 配置目录,并生成服务器配置文件 /etc/openvpn/server.conf,示例配置如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3保存后启动 OpenVPN 服务:
systemctl enable openvpn-server@server systemctl start openvpn-server@server
在 DigitalOcean 控制面板中打开防火墙端口(UDP 1194),并将客户端证书(包括 .crt、.key 和 ca.crt)打包成 .ovpn 文件分发给用户,用户只需在本地设备上导入该配置文件即可连接到你的 DigitalOcean 服务器,实现加密隧道访问。
通过以上步骤,你可以在 DigitalOcean 上轻松搭建一个安全、可扩展的个人或企业级 VPN 服务,相比商业方案,这种方式不仅成本低廉,还能根据实际需求灵活调整配置,是网络工程师构建私有网络的理想选择。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
