手把手教你如何在服务器上创建VPN，从零搭建安全远程访问通道

作为一名网络工程师，我经常被问到：“怎样在自己的服务器上搭建一个安全的VPN服务？”无论是为了远程办公、保护隐私，还是实现多设备间的加密通信，搭建一个属于自己的VPN服务器都是提升网络安全的重要一步，本文将详细介绍如何在Linux服务器（以Ubuntu为例）上部署OpenVPN，让你拥有一个稳定、安全、可自定义的虚拟私人网络。

第一步：准备环境
确保你有一台公网IP的Linux服务器（如阿里云、腾讯云或VPS），操作系统建议使用Ubuntu 20.04或更高版本，登录服务器后,首先更新系统包列表：

sudo apt update && sudo apt upgrade -y

第二步：安装OpenVPN和Easy-RSA
OpenVPN是开源且广泛使用的VPN协议，而Easy-RSA用于生成证书和密钥,运行以下命令安装它们：

sudo apt install openvpn easy-rsa -y

第三步：配置证书颁发机构（CA）
使用Easy-RSA生成证书和密钥,首先复制模板到指定目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，设置你的国家、省份、组织等信息（set_var EASYRSA_COUNTRY "CN"）,然后执行初始化：

./easyrsa init-pki
./easyrsa build-ca nopass

第四步：生成服务器证书和密钥
为服务器生成证书和密钥对：

./easyrsa gen-req server nopass
./easyrsa sign-req server server

第五步：生成Diffie-Hellman参数
这是TLS握手过程中的关键安全组件,生成时间为几分钟：

./easyrsa gen-dh

第六步：配置OpenVPN服务
复制示例配置文件并修改：

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
nano /etc/openvpn/server.conf

在配置文件中,至少修改以下几项：

• port 1194：指定端口（可选其他端口）
• proto udp：推荐使用UDP协议，性能更好
• dev tun：创建隧道接口
• ca ca.crt、cert server.crt、key server.key：指向刚才生成的证书
• dh dh.pem：指向Diffie-Hellman参数文件
• server 10.8.0.0 255.255.255.0：分配给客户端的IP段
• push "redirect-gateway def1 bypass-dhcp"：让客户端流量通过VPN出口
• push "dhcp-option DNS 8.8.8.8"：设置DNS服务器

第七步：启用IP转发和防火墙规则
为了让客户端能访问外网,需开启IP转发：

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p

配置iptables规则（以UFW为例）：

sudo ufw allow 1194/udp
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

第八步：启动并设置开机自启
启动服务：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

第九步：为客户端生成证书
每新增一个客户端,都要为其生成证书和密钥：

./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

将client1.crt、client1.key和ca.crt打包成.ovpn配置文件，供客户端导入（如Windows的OpenVPN GUI或手机App）。

通过以上步骤，你已经成功在服务器上搭建了一个基于OpenVPN的安全远程访问通道，整个过程无需额外付费软件，完全自主可控，后续可根据需求扩展至WireGuard（更快更轻量），或集成双因素认证增强安全性，记住定期更新证书、监控日志、备份配置,这才是真正的专业运维之道。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速