Linux系统搭建VPN服务器全攻略

本文详细介绍了在Linux系统下架设VPN服务器的步骤，包括选择合适的VPN软件、配置服务器环境、安装和配置VPN服务、设置用户认证、以及最后的测试和优化。教程涵盖了从基础设置到高级配置的全方位指导，适合有志于在Linux上搭建VPN服务的用户参考。

准备工作

我们需要准备以下条件：

1、硬件环境：一台运行Linux系统的服务器，建议使用CentOS、Ubuntu等主流发行版。

2、软件环境：OpenVPN是一款功能全面的VPN服务器软件，支持多种加密协议和认证方式。

3、网络环境：服务器必须拥有公网IP地址，并且端口号未被占用。

安装OpenVPN

1、使用root用户登录Linux服务器。

2、根据系统类型，使用以下命令安装OpenVPN：

- CentOS系统：

```bash

yum install openvpn.com/tags-7015.html" class="superseo">vpn easy-rsa

```

- Ubuntu系统：

```bash

apt-get install openvpn easy-rsa

```

3、安装完成后，进入easy-rsa目录并初始化：

```bash

cd /etc/openvpn/easy-rsa

./easy-rsa.clean

./easy-rsa.init

```

4、配置easy-rsa目录下的变量，编辑vars文件，并根据实际情况修改以下参数：

```bash

export KEY_COUNTRY="CN"

export KEY_PROVINCE="Beijing"

export KEY_CITY="Beijing"

export KEY_ORG="My Company"

export KEY_EMAIL="admin@example.com"

```

KEY_COUNTRY、KEY_PROVINCE、KEY_CITY、KEY_ORG和KEY_EMAIL分别代表国家、省份、城市、组织机构和邮箱地址，请根据实际情况进行修改。

5、生成CA证书、服务器证书和私钥、客户端证书、Diffie-Hellman密钥、证书链等，具体操作请参考以下命令：

```bash

./easy-rsa/gen-cakey

./easy-rsa/gen-ca

./easy-rsa/gen-server myserver

./easy-rsa/gen-client myclient

./easy-rsa/gen-dh

./easy-rsa/gen-crl

```

在执行过程中，根据提示输入相关信息。

6、将生成的证书文件移动到OpenVPN目录，具体命令如下：

```bash

cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn/

cp /etc/openvpn/easy-rsa/keys/ca.crl /etc/openvpn/

cp /etc/openvpn/easy-rsa/keys/myserver.crt /etc/openvpn/

cp /etc/openvpn/easy-rsa/keys/myserver.key /etc/openvpn/

cp /etc/openvpn/easy-rsa/keys/myserver.dh2048.pem /etc/openvpn/

cp /etc/openvpn/easy-rsa/keys/myclient.crt /etc/openvpn/

cp /etc/openvpn/easy-rsa/keys/myclient.key /etc/openvpn/

```

配置OpenVPN

1、创建OpenVPN配置文件/etc/openvpn/openvpn.conf，并根据以下内容进行配置：

```bash

port 1194

proto udp

dev tun

ca ca.crt

cert myserver.crt

key myserver.key

dh dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1 bypass-dhcp"

keepalive 10 120

comp-lzo

user nobody

group nogroup

persist-key

persist-tun

status openvpn-status.log

log-append openvpn.log

```

port为VPN服务器端口号，proto为传输协议（UDP或TCP），dev为隧道设备类型（TUN或TAP），ca、cert和key分别为CA证书、服务器证书和私钥，dh为Diffie-Hellman密钥，server为VPN服务器地址和子网掩码，ifconfig-pool-persist为IP地址池持久化文件，push为推送路由，keepalive为心跳包发送间隔，comp-lzo为压缩数据，user和group为运行OpenVPN的用户和组，persist-key和persist-tun分别为持久化密钥和隧道，status和log-append分别为状态日志和日志文件。

2、创建客户端配置文件，将客户端证书、私钥和配置文件复制到客户端机器，并创建客户端配置文件：

```bash

client

dev tun

proto udp

remote <服务器公网IP> 1194

resolv-retry infinite

nobind

user nobody

group nogroup

ca ca.crt

cert myclient.crt

key myclient.key

ns-cert-type server

comp-lzo

keepalive 10 120

```

remote为服务器公网IP地址和端口号，resolv-retry为DNS重试次数，ns-cert-type为证书类型。

启动OpenVPN服务

1、创建OpenVPN服务文件/etc/systemd/system/openvpn.service，并根据以下内容进行配置：

```ini

[Unit]

Description=OpenVPN Server

After=network.target

[Service]

ExecStart=/usr/sbin/openvpn --config /etc/openvpn/openvpn.conf

Restart=always

[Install]

WantedBy=multi-user.target

```

2、启动OpenVPN服务：

```bash

systemctl start openvpn@myserver.service

```

3、设置OpenVPN服务开机自启：

```bash

systemctl enable openvpn@myserver.service

```

至此，Linux系统下的VPN服务器已成功搭建，用户只需在客户端配置文件中填写正确的服务器公网IP地址和端口号，并导入相应的证书和私钥，即可连接到VPN服务器。