随着远程办公和网络安全意识的不断提升,越来越多的企业和个人需要在公网环境中建立一个安全、稳定的虚拟私有网络(VPN)服务,OpenVPN 是一款开源且功能强大的 VPN 解决方案,支持多种加密协议和跨平台部署,本文将详细介绍如何在 Windows 系统上安装并配置 OpenVPN 服务器,帮助你快速搭建一个稳定、安全的私有网络环境。
第一步:准备工作
在开始前,请确保你的 Windows 主机满足以下条件:
- Windows Server 2016/2019/2022 或 Windows 10/11(推荐使用服务器版本以获得更高稳定性)
- 静态公网 IP 地址(或已配置端口转发规则)
- 具备管理员权限
- 已安装 OpenSSL(用于生成证书和密钥)
第二步:下载并安装 OpenVPN 安装包
- 访问 OpenVPN 官方网站(https://openvpn.net/community-downloads/),下载适用于 Windows 的 OpenVPN Community Edition 安装程序(注意选择“Windows Installer”版本)。
- 运行安装文件,按照提示完成安装,默认路径为
C:\Program Files\OpenVPN。 - 安装完成后,系统会自动创建 OpenVPN Service 服务,但尚未配置任何网络参数。
第三步:配置服务器证书与密钥(使用 Easy-RSA)
OpenVPN 使用 TLS 加密通信,因此必须先生成服务器证书和客户端证书。
- 打开命令提示符(以管理员身份运行),进入 OpenVPN 安装目录下的
easy-rsa文件夹(通常位于C:\Program Files\OpenVPN\easy-rsa)。 - 执行以下命令初始化证书颁发机构(CA):
init-pki - 生成服务器证书:
build-ca nopass build-key-server server - 生成 Diffie-Hellman 参数:
gen-dh - 生成客户端证书(每个用户需单独生成):
build-key client1
第四步:配置服务器主文件(server.conf)
在 OpenVPN 安装目录下找到 sample-config-files 文件夹,复制 server.ovpn 到 config 目录并重命名为 server.conf。
编辑该文件,关键配置如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
auth SHA256
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
verb 3第五步:启动 OpenVPN 服务
- 将上述生成的所有证书文件(ca.crt、server.crt、server.key、dh.pem、ta.key)复制到
config文件夹中。 - 打开 Windows 服务管理器(services.msc),找到 “OpenVPN Service”,右键启动。
- 检查日志文件(默认在
C:\Program Files\OpenVPN\log)确认无错误信息。
第六步:配置防火墙与路由器
- 在 Windows 防火墙中添加入站规则,允许 UDP 1194 端口。
- 如果使用家用路由器,需设置端口转发(Port Forwarding):将公网 IP 的 1194 端口映射到服务器内网 IP 的 1194 端口。
第七步:客户端配置
为客户端生成 .ovpn 配置文件,并包含客户端证书、密钥和 CA 文件,连接时使用 OpenVPN GUI 客户端即可自动连接。
通过以上步骤,你可以在 Windows 上成功搭建一个功能完整的 OpenVPN 服务器,实现多用户远程安全接入内部网络,此方案适合小型企业或个人用户,具备高安全性与灵活性,是构建私有网络基础设施的重要一步。
