用Linux搭建VPN

一、OpenVPN 介绍

OpenVPN 为一款跨平台的开源 VPN 软件，支持 TCP/UDP 以及 SSL/TLS 两种 VPN 连接方式，能够在包括 Linux、Windows、MacOS、iOS、Android 等多种平台上运行。相比于其他 VPN 软件，OpenVPN 有更高的安全性和更强的自定义能力。

OpenVPN 的核心软件包包括 openvpn 和 easyrsa，前者是 OpenVPN 的主体程序，后者则是用于生成数字证书和密钥的工具。本文中将使用 OpenVPN 来搭建 VPN 网络。

二、安装 OpenVPN

在 Linux 中安装 OpenVPN 的方法与一般的软件安装相似，具体步骤如下：

sudo apt-get update
sudo apt-get install openvpn easy-rsa

安装完成后，即可开始配置 VPN 网络。

三、生成数字证书和密钥

在使用 OpenVPN 搭建 VPN 网络时，为了保证连接的安全性，需要将客户端和服务器端之间的数据加密。为此，需要使用 easyrsa 生成数字证书和密钥。

在 OpenVPN 安装包中，可以找到一个 easy-rsa 的目录，该目录中包含了一些 shell 脚本和配置文件，可以使用这些工具来生成数字证书和密钥。下面是生成数字证书和密钥的步骤：

cd /usr/share/easy-rsa/3
./easyrsa init-pki
./easyrsa build-ca

其中，第一条命令用于进入 easy-rsa 目录，第二条命令用于初始化 PKI，第三条命令用于创建一个 CA（Certificate Authority）证书。

接下来，还需使用以下命令生成服务器端的证书和密钥：

./easyrsa gen-req server nopass
./easyrsa sign-req server server

该命令将生成一个带有服务器信息的证书请求，并使用 CA 证书进行签署，生成服务器的数字证书和密钥。

同样的，在生成客户端的证书和密钥时，也需要执行类似的命令：

./easyrsa gen-req client nopass
./easyrsa sign-req client client

生成的证书和密钥将保存在 easy-rsa/3/pki 目录下。

四、配置 OpenVPN 服务器

在配置 OpenVPN 实现 VPN 网络之前，需创建一个配置文件。在 Ubuntu 中，可以使用以下命令创建配置文件：

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
sudo gzip -d /etc/openvpn/server.conf.gz

此时，/etc/openvpn 目录下会出现一个 server.conf 的文件，这是 OpenVPN 的服务器配置文件，可以按需要进行修改。

下面是一个简单的 OpenVPN 服务器配置文件示例，其中使用了之前生成的服务器证书和密钥（位于 easy-rsa/3/pki 目录下）：

port 1194
proto udp
dev tun
ca /usr/share/easy-rsa/3/pki/ca.crt
cert /usr/share/easy-rsa/3/pki/issued/server.crt
key /usr/share/easy-rsa/3/pki/private/server.key
dh none
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

将以上内容保存为 /etc/openvpn/server.conf 文件，并启动 OpenVPN 服务：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

启动成功后，可通过以下命令查看日志信息，以确保 OpenVPN 已按照配置文件启动：

sudo journalctl -u openvpn@server

五、配置 VPN 客户端

在配置 VPN 客户端时，需要将之前生成的证书和密钥拷贝到客户端机器上，并创建一个客户端配置文件。

以下是一个简单的 OpenVPN 客户端配置文件示例：

client
remote vpn.example.com 1194
proto udp
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
cipher AES-256-CBC
comp-lzo
verb 3

将以上内容保存为客户端配置文件（例如 /etc/openvpn/client.conf），并启动 OpenVPN 服务：

sudo systemctl start openvpn@client
sudo systemctl enable openvpn@client

启动成功后，可通过以下命令查看日志信息：

sudo journalctl -u openvpn@client

六、结论

通过以上步骤，我们已成功搭建了 OpenVPN 服务器和客户端，并实现了 VPN 网络的搭建。当然，OpenVPN 的配置还有很多细节和技巧，可以根据需要进行更深入的配置和优化。

原创文章，作者：ZTMQ，如若转载，请注明出处：https://www.506064.com/n/148083.html