首页/vpn加速器/Linux系统中配置OpenVPN实现安全远程访问的完整指南

Linux系统中配置OpenVPN实现安全远程访问的完整指南

vpn加速器 27 May 2026

在当今远程办公和分布式团队日益普及的背景下,如何安全地访问公司内网资源成为网络工程师必须掌握的核心技能之一，Linux作为服务器端和桌面端的重要操作系统，其强大的命令行能力和灵活的网络配置工具使其成为部署虚拟私人网络（VPN）的理想平台，本文将详细介绍如何在Linux系统中配置OpenVPN服务，实现安全、稳定且可扩展的远程访问方案。

确保你拥有一个运行Linux的服务器（如Ubuntu Server或CentOS），并具备root权限或sudo权限，我们以Ubuntu 22.04为例进行说明，第一步是安装OpenVPN及相关依赖包：

sudo apt update
sudo apt install openvpn easy-rsa -y

easy-rsa 是用于生成SSL/TLS证书和密钥的工具集，对OpenVPN的身份认证至关重要，我们需要配置证书颁发机构（CA），执行以下命令初始化证书目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

然后编辑 vars 文件，设置国家、省份、组织等基本信息（如CN=China, O=MyCompany），保存后运行：

./clean-all
./build-ca

这会生成CA证书（ca.crt）和私钥（ca.key），下一步是生成服务器证书和密钥：

./build-key-server server

注意：此步骤需要确认“签发”选项为yes，并输入密码保护私钥，生成客户端证书（每个用户一份）：

./build-key client1

还需生成Diffie-Hellman参数（用于密钥交换）：

./build-dh

所有必要的证书和密钥已准备就绪,下一步是创建OpenVPN服务器配置文件 /etc/openvpn/server.conf，以下是关键配置项示例：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

这些配置定义了服务器监听端口、隧道接口、证书路径、子网分配（客户端IP地址池）、DNS重定向（使客户端流量通过VPN）、压缩选项以及日志级别。

配置完成后,启动OpenVPN服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

为了允许数据包转发,需启用IP转发功能：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

配置防火墙规则（如使用UFW）允许UDP端口1194通行：

sudo ufw allow 1194/udp

客户端方面,只需将服务器生成的ca.crt、client1.crt、client1.key拷贝到本地，并创建一个.ovpn配置文件，内容类似：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

在Linux客户端上运行：