Linux如何搭建VPN服务器？

在Linux系统中搭建VPN服务器是一项实用的技能,能够为用户提供安全的远程访问和数据加密传输服务，本文将以常见的OpenVPN协议为例，详细介绍在Linux（以Ubuntu为例）环境下搭建VPN服务器的步骤、配置要点及注意事项，帮助读者顺利完成搭建工作。

环境准备与系统更新

在开始搭建之前,需要确保Linux系统满足基本要求：推荐使用Ubuntu 20.04或更高版本，至少拥有1GB内存和10GB可用存储空间，首先更新系统软件包列表并安装必要的依赖工具：

sudo apt update && sudo apt upgrade y
sudo apt install y openvpn easyrsa openssl wget

安装完成后,检查OpenVPN版本以确认安装成功：

openvpn version

生成证书与密钥

VPN服务器的安全性依赖于加密证书和密钥,使用EasyRSA工具生成证书颁发机构（CA）证书、服务器证书及客户端证书：

1. 创建证书目录：

   makecadir ~/openvpnca
   cd ~/openvpnca

2. 配置变量：编辑vars文件，设置国家、省份、组织等默认信息，

   export EASY_RSA="`pwd`"
   export KEY_COUNTRY="CN"
   export KEY_PROVINCE="Beijing"
   export KEY_CITY="Beijing"
   export KEY_ORG="MyCompany"
   export KEY_EMAIL="admin@example.com"

3. 初始化PKI：

   source vars
   ./cleanall
   ./buildca

4. 生成服务器证书：

   ./buildkeyserver server

5. 生成客户端证书（以客户端1为例）：

   ./buildkey client1

6. 生成DiffieHellman参数（增强密钥交换安全性）：

   ./builddh

7. 生成HMAC密钥（防御DoS攻击）：

   openvpn genkey secret keys/ta.key

配置OpenVPN服务器

将生成的证书文件复制到OpenVPN配置目录,并创建服务器配置文件/etc/openvpn/server.conf：

sudo cp ~/openvpnca/keys/{ca.crt,server.crt,server.key,dh.pem} /etc/openvpn/
sudo cp ~/openvpnca/keys/ta.key /etc/openvpn/
sudo nano /etc/openvpn/server.conf

配置文件核心内容如下：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfigpoolpersist ipp.txt
push "redirectgateway def1 bypassdhcp"
push "dhcpoption DNS 8.8.8.8"
push "dhcpoption DNS 8.8.4.4"
keepalive 10 120
tlsauth ta.key 0
cipher AES256CBC
auth SHA256
complzo no
user nobody
group nogroup
persistkey
persisttun
status openvpnstatus.log
verb 3
explicitexitnotify 1

配置说明：

• server：定义VPN客户端的虚拟IP地址段
• push：推送路由及DNS配置给客户端
• cipher：加密算法，推荐AES256CBC
• tlsauth：启用HMAC验证提升安全性

启动与启用服务

1. 启动OpenVPN服务：

   sudo systemctl start openvpn@server
   sudo systemctl enable openvpn@server

2. 检查服务状态：

   sudo systemctl status openvpn@server

3. 配置IP转发：编辑/etc/sysctl.conf，取消注释net.ipv4.ip_forward=1，然后执行：

   sudo sysctl p

4. 设置NAT转发规则：通过iptables将客户端流量转发到公网：

   sudo iptables t nat A POSTROUTING s 10.8.0.0/24 o eth0 j MASQUERADE
   sudo apt install y iptablespersistent
   sudo netfilterpersistent save

生成客户端配置文件

客户端配置文件需包含服务器证书、密钥及连接参数，创建client1.ovpn文件：

client
dev tun
proto udp
remote your_server_ip 1194
resolvretry infinite
nobind
persistkey
persisttun
remotecerttls server
cipher AES256CBC
auth SHA256
complzo no
keydirection 1
<ca>
BEGIN CERTIFICATE
[将ca.crt内容粘贴至此]
END CERTIFICATE
</ca>
<cert>
BEGIN CERTIFICATE
[将client1.crt内容粘贴至此]
END CERTIFICATE
</cert>
<key>
BEGIN PRIVATE KEY
[将client1.key内容粘贴至此]
END PRIVATE KEY
</key>
<tlsauth>
BEGIN OpenVPN Static key V1
[将ta.key内容粘贴至此]
END OpenVPN Static key V1
</tlsauth>

将生成的client1.ovpn文件传输至客户端设备，使用OpenVPN客户端导入即可连接。

安全加固建议

1. 启用防火墙：使用UFW限制仅开放必要端口：

   sudo ufw allow 1194/udp
   sudo ufw enable

2. 禁用root登录：通过sudo visudo限制非管理员用户权限。
3. 定期更新证书：建议每6个月重新生成证书并更新客户端配置。
4. 监控日志：定期检查/var/log/syslog中的OpenVPN连接日志。

常见问题排查

若连接失败,可通过以下步骤排查：

1. 检查服务器防火墙是否放行1194端口
2. 确认客户端配置文件中的remote地址是否为服务器公网IP
3. 验证证书是否过期（查看keys目录下文件有效期）
4. 使用sudo journalctl u openvpn@server查看服务详细日志

相关问答FAQs

Q1: 如何限制VPN客户端的访问带宽？
A1: 可在server.conf中添加以下参数限速：

# 限制客户端下载速度（单位：KB/s）
limitdownload 512  
# 限制客户端上传速度（单位：KB/s）
limitupload 256  

修改后重启OpenVPN服务即可生效。

Q2: 客户端连接后无法访问互联网怎么办？
A2: 通常由两个原因导致：

1. 未开启IP转发：确认/etc/sysctl.conf中net.ipv4.ip_forward=1已生效；
2. NAT规则未保存：执行sudo netfilterpersistent save持久化iptables规则。
   若问题依旧，可使用tcpdump抓包分析客户端流量是否正确转发至公网网关。