Debian 8系统VPN搭建实战手册

本文为Debian 8系统搭建VPN的实践指南，详细介绍了使用OpenVPN搭建VPN的过程。从安装OpenVPN软件，配置服务器端和客户端，到测试VPN连接，步骤清晰，适合初学者学习。

准备工作

在进行 VPN 搭建之前，我们需要准备以下条件：

1、一台已安装 SSH 服务的 Debian 8 服务器。

2、一款已知的 VPN 客户端软件，如 OpenVPN、PPTP 等。

3、获取虚拟主机或专线接入服务，确保服务器能够公网访问。

安装 OpenVPN

我们将使用 OpenVPN 来搭建 VPN，以下是安装步骤：

1、更新系统源

```bash

sudo apt-get update

```

2、安装 OpenVPN

```bash

sudo apt-get install openvpn

```

3、生成证书

生成 CA 证书

```bash

sudo openvpn --genkey --secret ca.key

sudo openvpn --req --days 3650 --dn "C=CN,ST=Beijing,L=Beijing,O=MyCompany,CN=MyCA" --x509 --signkey ca.key --out ca.crt

```

生成服务器证书

```bash

sudo openvpn --genkey --secret server.key

sudo openvpn --req --days 3650 --dn "C=CN,ST=Beijing,L=Beijing,O=MyCompany,CN=MyServer" --x509 --signkey ca.key --out server.crt

```

生成客户端证书

```bash

sudo openvpn --genkey --secret client.key

sudo openvpn --req --days 3650 --dn "C=CN,ST=Beijing,L=Beijing,O=MyCompany,CN=MyClient" --x509 --signkey ca.key --out client.crt

```

4、创建 OpenVPN 配置文件

服务器配置文件

```bash

sudo nano /etc/openvpn/server.conf

```

输入以下内容：

```plaintext

port 1194

proto udp

dev tun

ca ca.crt

cert server.crt

key server.key

dh dh2048.pem

keepalive 10 120

tls-auth ta.key 0

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1 bypass-dhcp"

push "dhcp-option DNS 8.8.8.8"

push "dhcp-option DNS 8.8.4.4"

status openvpn-status.log

log /var/log/openvpn.log

```

客户端配置文件

```bash

sudo nano /etc/openvpn/client.conf

```

输入以下内容（替换为您的服务器 IP 地址和端口）：

```plaintext

client

dev tun

proto udp

remote myserverip 1194

resolv-retry infinite

nobind

user nobody

group nogroup

persist-key

persist-tun

ca ca.crt

cert client.crt

key client.key

tls-auth ta.key 0

cipher AES-256-CBC

auth-user-pass client.txt

remote-cert-tls server

```

5、生成 Diffie-Hellman 密钥

```bash

sudo openvpn --genkey --secret dh2048.pem

```

6、生成 TLS 密钥

```bash

openvpn --genkey --secret ta.key

```

7、重启 OpenVPN 服务

```bash

sudo systemctl restart openvpn@server

```

客户端连接 VPN

1、将服务器端的ca.crt、server.crt、server.key、dh2048.pem 和ta.key 复制到客户端。

2、将客户端的ca.crt、client.crt、client.key 复制到客户端。

3、在客户端配置文件中，将remote myserverip 1194 中的myserverip 替换为您的服务器 IP 地址，将cipher AES-256-CBC 替换为您的加密方式。

4、将客户端的client.crt 和client.key 放入client.txt 文件中，并确保该文件权限为 600。

5、启动 VPN 客户端连接。

通过本文的详细讲解，您应该能够轻松搭建一个安全的 VPN 环境，在实际应用中，您可以根据需求对配置文件进行修改，以适应不同的场景，祝您搭建成功！