作为一名网络工程师,我经常遇到客户在虚拟化平台(如VMware vSphere ESXi)上部署各类网络服务的需求,搭建一个安全、稳定的VPN(虚拟专用网络)服务是许多企业远程办公、分支机构互联或云迁移场景下的关键步骤,本文将详细介绍如何在ESXi主机上部署和配置基于OpenVPN的VPN服务,帮助你快速实现安全远程访问。
明确目标:我们希望在ESXi平台上运行一个轻量级的Linux虚拟机(如Ubuntu Server),并在其上安装并配置OpenVPN服务,从而为外部用户提供加密的远程接入能力,这种方法不仅灵活、可扩展,还能充分利用ESXi的资源调度和高可用特性。
第一步:准备虚拟机环境
在vSphere Client中创建一个新的虚拟机,建议配置如下:
- CPU:2核
- 内存:2GB
- 磁盘:20GB(SSD最佳)
- 网络适配器:桥接模式(Bridge Mode),确保虚拟机能直接访问物理网络
操作系统选择Ubuntu Server 22.04 LTS,这是社区支持良好且稳定的选择。
第二步:安装OpenVPN
登录到新创建的Ubuntu虚拟机后,执行以下命令安装OpenVPN及相关工具:
sudo apt update sudo apt install openvpn easy-rsa -y
初始化证书颁发机构(CA):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass
这里会生成根证书(ca.crt),后续用于客户端和服务端认证。
第三步:生成服务器和客户端证书
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
这些操作会分别生成server.crt、client1.crt等文件,它们是建立TLS连接的核心凭证。
第四步:配置OpenVPN服务器
编辑主配置文件 /etc/openvpn/server.conf,设置如下关键参数:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3注意:push "redirect-gateway" 会让客户端流量全部走VPN隧道,适合企业内网访问场景;若只想访问特定内网资源,可改为 route 192.168.1.0 255.255.255.0。
第五步:启动服务与防火墙配置
启用OpenVPN服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
在ESXi主机上配置防火墙规则(或使用iptables)开放UDP 1194端口,并根据需要转发到该虚拟机IP。
将客户端配置文件(client.ovpn)分发给用户,内容包括CA证书、客户端证书、私钥及服务器地址,用户只需导入此文件即可通过OpenVPN客户端连接到你的ESXi上的VPN服务。
在ESXi中部署OpenVPN是一个成熟且高效的方案,尤其适合中小型企业或混合云架构,它不仅能提供端到端加密通信,还具备良好的可维护性和故障隔离能力,作为网络工程师,掌握这一技能意味着你可以更灵活地应对多样化的网络需求,构建安全、可靠的远程访问体系。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
