安装OpenVPN和Easy-RSA(证书管理)

vfra1314552 2026-07-02 VPN加速器 4 0

搭建内网VPN服务器可以为企业或组织提供安全的远程访问内部资源的方式,以下是详细的步骤和注意事项:


选择VPN协议

  1. OpenVPN
    • 开源、跨平台,支持TCP/UDP,配置灵活,适合大多数场景。
    • 需安装客户端软件(如OpenVPN GUI)。
  2. IPSec/L2TP

    内置支持(如Windows/iOS/Android),但配置复杂,可能需要兼容NAT。

  3. WireGuard
    • 轻量级、高性能,适合现代网络环境,配置简单(如wg-quick)。

搭建步骤(以OpenVPN为例)

服务器端配置(Linux)

# 生成证书和密钥
make-cadir ~/openvpn-ca && cd ~/openvpn-ca
./easyrsa init-pki
./easyrsa build-ca          # 创建CA证书(需设置密码)
./easyrsa build-server-full server nopass  # 服务器证书
./easyrsa gen-dh           # 生成Diffie-Hellman参数
openvpn --genkey --secret ta.key  # 生成TLS-auth密钥
# 复制证书文件到OpenVPN目录
sudo cp ~/openvpn-ca/pki/{ca.crt,dh.pem,issued/server.crt,private/server.key,ta.key} /etc/openvpn/server/
# 配置服务器文件
sudo nano /etc/openvpn/server/server.conf

示例配置:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"  # 推送内网路由
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

启用IP转发和防火墙

# 允许IP转发
sudo sysctl -w net.ipv4.ip_forward=1
sudo echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
# 配置iptables/NAT(假设内网网卡为eth0)
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A INPUT -p udp --dport 1194 -j ACCEPT
sudo iptables-save > /etc/iptables.rules

启动服务

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

客户端配置

  1. 生成客户端证书
    cd ~/openvpn-ca
    ./easyrsa build-client-full client1 nopass  # 创建客户端证书
  2. 创建客户端配置文件(client.ovpn
    client
    dev tun
    proto udp
    remote your_server_ip 1194  # 替换为服务器公网IP或域名
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca ca.crt
    cert client1.crt
    key client1.key
    remote-cert-tls server
    tls-auth ta.key 1
    cipher AES-256-CBC
    verb 3
  3. 分发配置
    • client.ovpnca.crtclient1.crtclient1.keyta.key打包给客户端。

高级配置

  • 安全性增强
    • 使用TLS 1.3或更强的加密算法(如AES-256-GCM)。
    • 限制VPN访问权限(如iptables规则只允许特定IP)。
  • 双因素认证
    集成Google Authenticator或FreeRADIUS。
  • 日志监控
    定期检查/var/log/openvpn-status.log和系统日志。

常见问题

  1. 连接失败
    • 检查防火墙是否放行UDP 1194端口。
    • 确认客户端和服务端证书匹配。
  2. 无法访问内网
    • 确保服务器推送了正确的内网路由(如push "route 192.168.1.0 255.255.255.0")。
    • 检查服务器IP转发和NAT规则。

替代方案

  • SoftEther VPN:图形化界面,支持多协议。
  • WireGuard:性能更高,适合移动设备。

通过以上步骤,您可以搭建一个安全的内网VPN服务器,根据实际需求调整协议和配置,并定期更新证书和软件以保障安全。

安装OpenVPN和Easy-RSA(证书管理)

扫码下载闪连VPN

扫码下载闪连VPN

400-22558800
扫码下载闪连VPN

扫码下载闪连VPN