一、环境准备与VPS基础配置
搭建OpenVPN前需准备一台具有公网IP的VPS服务器,推荐使用CentOS 7或Ubuntu 20.04以上系统。通过SSH连接服务器后执行以下操作:
- 更新系统软件包:
yum update -y或apt-get update && apt-get upgrade -y - 安装必要依赖:
yum install epel-release(CentOS)或apt-get install ca-certificates wget(Ubuntu) - 开启系统IP转发功能:修改
/etc/sysctl.conf中net.ipv4.ip_forward=1并执行sysctl -p
二、OpenVPN服务端安装与证书生成
通过以下步骤完成核心组件部署:
- 安装OpenVPN:
yum install openvpn(CentOS)或apt-get install openvpn(Ubuntu) - 下载EasyRSA工具包:
wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.2/EasyRSA-3.1.2.tgz并解压至/etc/openvpn/easy-rsa - 生成CA证书与服务器证书:
- 复制模板文件:
cp vars.example vars - 修改证书有效期参数:
EASYRSA_CA_EXPIRE=365和EASYRSA_CERT_EXPIRE=365 - 执行
./easyrsa init-pki与./easyrsa build-ca
- 复制模板文件:
三、安全隧道配置与防火墙设置
通过协议优化与访问控制增强安全性:
| 参数 | 推荐值 |
|---|---|
| 加密算法 | AES-256-CBC |
| TLS版本 | tls-version-min 1.2 |
| 端口协议 | UDP 1194 |
防火墙配置要点:
- 开放UDP 1194端口:
firewall-cmd --permanent --add-port=1194/udp - 启用MASQUERADE规则:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE - 禁用弱加密协议:在配置文件中添加
disable-ssl和tls-auth ta.key 0
四、客户端连接与测试验证
完成服务端配置后,按以下流程测试:
- 生成客户端证书:
./easyrsa build-client-full client1 - 导出客户端配置文件(.ovpn),包含以下关键参数:
- 远程服务器地址与端口
- 证书与密钥文件路径
- 重连策略与心跳检测参数
- 使用OpenVPN客户端导入配置文件,验证内网资源访问与DNS解析功能
通过上述步骤可快速搭建安全的OpenVPN服务,其优势在于支持TLS加密与灵活的访问控制策略。建议定期更新证书(建议有效期不超过1年)并监控VPN连接日志,结合防火墙规则实现多层防御。
本文由阿里云优惠网发布。发布者:编辑员。禁止采集与转载行为,违者必究。出处:https://aliyunyh.com/609214.html
其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
