作为一位网络工程师,我经常被客户问到如何安全、稳定地实现远程办公或跨地域访问内部资源,Linode 作为一个高性能、高性价比的云主机平台,非常适合用来搭建自己的虚拟专用网络(VPN)服务,本文将详细介绍如何在 Linode 虚拟机上部署 OpenVPN,帮助你建立一个安全可靠的远程访问通道。
你需要准备以下内容:
- 一台 Linode 虚拟机(推荐使用 Ubuntu 20.04 LTS 或 22.04 LTS);
- 一个公网 IP 地址(Linode 默认提供);
- 基本的 Linux 操作命令知识;
- 安全的 SSH 访问权限(建议使用密钥登录)。
第一步:环境初始化
登录你的 Linode 实例后,更新系统包列表并安装必要工具:
sudo apt update && sudo apt upgrade -y sudo apt install openvpn easy-rsa -y
Easy-RSA 是用于生成证书和密钥的工具,是 OpenVPN 安全认证的核心组件。
第二步:配置 OpenVPN 的 CA 和服务器证书
进入 Easy-RSA 目录并初始化 PKI(公钥基础设施):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件,设置你的组织信息(如国家、省份、组织名等),确保这些字段在多台客户端连接时保持一致,避免证书验证失败。
执行以下命令生成 CA 证书和服务器证书:
./clean-all ./build-ca # 会提示输入 Common Name("OpenVPN-CA") ./build-key-server server # 输入 Common Name("server") ./build-dh # 生成 Diffie-Hellman 参数
第三步:配置 OpenVPN 服务器
复制默认配置文件到 /etc/openvpn/ 并修改:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/ nano /etc/openvpn/server.conf
关键配置项包括:
port 1194(可自定义端口,但需与防火墙规则一致);proto udp(UDP 性能优于 TCP);dev tun(TUN 模式适合点对点加密);ca,cert,key,dh分别指向你刚刚生成的证书路径;push "redirect-gateway def1 bypass-dhcp"(使客户端流量通过 VPN 路由);push "dhcp-option DNS 8.8.8.8"(推送 DNS 解析地址);user nobody和group nogroup(提升安全性)。
第四步:启用 IP 转发和防火墙规则
打开内核 IP 转发功能:
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p
配置 UFW 防火墙允许 OpenVPN 流量:
ufw allow 1194/udp ufw allow ssh ufw enable
第五步:启动服务并测试
启动 OpenVPN 服务:
systemctl start openvpn@server systemctl enable openvpn@server
你可以创建客户端配置文件(.ovpn),包含 CA 证书、客户端证书、私钥和服务器地址,客户端只需导入该文件即可连接。
注意事项:
- 建议定期更新证书(例如每 12 个月);
- 使用强密码保护私钥;
- 若需多用户访问,可为每个用户生成独立证书;
- 可结合 Fail2Ban 防止暴力破解;
- 推荐使用静态 IP 或 DDNS 服务绑定域名,避免 IP 变化导致断连。
在 Linode 上搭建 OpenVPN 不仅成本低、灵活性高,还能让你完全掌控数据流的安全性,对于远程办公、家庭网络扩展或企业分支互联,这是一个值得推荐的解决方案,掌握这项技能,不仅提升了你的网络运维能力,也为未来构建更复杂的 SD-WAN 或零信任架构打下坚实基础。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
