搭建Linux VPN服务器，基础配置与安全优化指南

本指南全面介绍了Linux VPN服务器架设，涵盖基础配置和安全优化。从选择合适的VPN协议到配置服务器，再到安全加固，助您搭建一个安全、高效的VPN服务器。

选择VPN协议

我们需要选择一种VPN协议，目前市面上常用的VPN协议包括PPTP、L2TP/IPsec和OpenVPN等，以下是这些协议的简要介绍：

1、PPTP：操作简便，但安全性相对较低，易受攻击。

2、L2TP/IPsec：融合了PPTP和IPsec的优点，安全性较高。

3、OpenVPN：功能强大，支持多种加密算法，安全性出色。

鉴于安全性和功能性的考量，本文将重点介绍OpenVPN的搭建。

搭建OpenVPN服务器

1. 安装OpenVPN

在Linux服务器上，您可以使用包管理器安装OpenVPN，以下以CentOS为例：

sudo yum install openvpn easy-rsa

2. 配置OpenVPN

（1）创建目录和文件

sudo mkdir -p /etc/openvpn/easy-rsa/keys
sudo cp -r /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
cd /etc/openvpn/easy-rsa/

（2）修改变量

编辑vars文件，修改以下变量：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="My Company"
export KEY_ORG_UNIT="IT Department"
export KEY_EMAIL="your_email@example.com"

（3）生成CA证书

source vars
./clean-all
./build-ca

（4）生成服务器证书

source vars
./build-key-server server

（5）生成Diffie-Hellman密钥

source vars
./build-dh

（6）生成服务器配置文件

编辑server.conf文件，添加以下内容：

port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nogroup
status openvpn-status.log
log PID openvpn.pid

（7）生成客户端证书

source vars
./build-key client1

3. 启动OpenVPN服务

sudo systemctl start openvpn@server.service
sudo systemctl enable openvpn@server.service

安全优化

1. 使用强密码

为OpenVPN服务器的CA证书、服务器证书和客户端证书设置强密码，以增强安全性。

2. 限制客户端连接

编辑server.conf文件，添加以下内容：

client-to-client
client-config-dir /etc/openvpn/client-configs

为每个客户端创建配置文件，并设置相应的权限。

3. 限制访问

编辑server.conf文件，添加以下内容：

keepalive 10 120
tls-auth ta.key 0

生成ta.key文件，并要求客户端在连接时提供该文件。

4. 防火墙设置

配置Linux服务器的防火墙，允许VPN连接的端口：

sudo firewall-cmd --zone=public --add-port=1194/tcp
sudo firewall-cmd --reload

通过以上步骤，您已在Linux服务器上成功搭建了OpenVPN VPN服务器，为确保服务器安全，请定期更新服务器软件和客户端配置，并关注最新的安全动态，祝您使用愉快！