Ubuntu/Debian

sssd1599225 2026-07-02 外网梯子 2 0

搭建内网VPN服务器可以方便远程安全访问内部资源(如文件、应用、数据库),以下是分步指南及注意事项:


常见VPN协议选择

  1. OpenVPN

    • 开源、跨平台,支持TCP/UDP,安全性高(SSL/TLS加密)。
    • 适合大多数场景,配置稍复杂。
  2. WireGuard

    • 轻量级、高性能,现代加密协议(ChaCha20)。
    • 配置简单,适合移动设备和高性能需求。
  3. IPSec/L2TP

    兼容性好(内置支持于多数操作系统),但可能被防火墙拦截。

  4. SoftEther

    多协议支持(包括OpenVPN和L2TP),适合复杂需求。


搭建步骤(以OpenVPN为例)

准备环境

  • 服务器:Linux(如Ubuntu/CentOS)或Windows Server。
  • 公网IP/域名:若需从外网访问,需有公网IP并配置DDNS(如动态IP)。
  • 防火墙:开放对应端口(如OpenVPN默认1194/UDP)。

安装OpenVPN

sudo apt install openvpn easy-rsa
# CentOS/RHEL
sudo yum install epel-release
sudo yum install openvpn easy-rsa

配置证书(PKI)

# 复制Easy-RSA工具
sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/server/
cd /etc/openvpn/server/easy-rsa/3
# 初始化PKI
./easyrsa init-pki
./easyrsa build-ca nopass  # 创建CA证书(无密码)
# 生成服务器证书
./easyrsa gen-req server nopass
./easyrsa sign-req server server
# 生成Diffie-Hellman密钥和TLS密钥
./easyrsa gen-dh
openvpn --genkey --secret ta.key

配置文件

  • 服务器配置/etc/openvpn/server/server.conf):
    port 1194
    proto udp
    dev tun
    ca /etc/openvpn/server/easy-rsa/3/pki/ca.crt
    cert /etc/openvpn/server/easy-rsa/3/pki/issued/server.crt
    key /etc/openvpn/server/easy-rsa/3/pki/private/server.key
    dh /etc/openvpn/server/easy-rsa/3/pki/dh.pem
    server 10.8.0.0 255.255.255.0
    push "route 192.168.1.0 255.255.255.0"  # 推送内网路由
    keepalive 10 120
    tls-auth /etc/openvpn/server/ta.key 0
    cipher AES-256-CBC
    user nobody
    group nogroup
    persist-key
    persist-tun
    status /var/log/openvpn-status.log
    log /var/log/openvpn.log
    verb 3

启动服务

sudo systemctl start openvpn-server@server
sudo systemctl enable openvpn-server@server

生成客户端配置

# 创建客户端证书
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1
# 客户端配置文件(client.ovpn)示例:
client
dev tun
proto udp
remote your-server-ip 1194  # 替换为服务器IP/域名
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
verb 3

其他方案

  • WireGuard快速搭建

    # Ubuntu
    sudo apt install wireguard
    wg genkey | sudo tee /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key

    编辑配置文件(/etc/wireguard/wg0.conf):

    [Interface]
    PrivateKey = <服务器私钥>
    Address = 10.0.0.1/24
    ListenPort = 51820
    [Peer]
    PublicKey = <客户端公钥>
    AllowedIPs = 10.0.0.2/32

关键注意事项

  1. 安全性

    • 使用强加密(如AES-256)和证书认证。
    • 限制VPN访问IP或使用多因素认证(如Google Authenticator)。
  2. 网络配置

    • NAT/防火墙:确保端口转发(如1194/UDP到内网服务器)。
    • 路由推送:正确推送内网路由(如push "route 192.168.1.0 255.255.255.0")。
  3. 日志监控

    • 检查/var/log/openvpn.log排查连接问题。
  4. 高可用性

    考虑多服务器部署或负载均衡(如Keepalived)。


适用场景

  • 企业远程办公:通过VPN访问内网ERP/OA系统。
  • 混合云架构:连接公有云与本地数据中心。
  • 安全运维:SSH/RDP管理内部服务器。

根据需求选择协议,WireGuard适合高性能场景,OpenVPN兼容性更广,如需进一步帮助,可提供具体环境细节(如操作系统、网络拓扑)。

Ubuntu/Debian

扫码下载轻舟VPN

扫码下载轻舟VPN

137-6924-5183
扫码下载轻舟VPN

扫码下载轻舟VPN