CentOS系统

手把手教你用阿里云搭建安全可靠的VPN服务——从零开始配置OpenVPN服务器

在当前远程办公和跨地域协作日益普遍的背景下,企业或个人用户对私有网络连接的需求不断增长，阿里云作为国内领先的云计算平台，提供了稳定、安全且易用的基础设施服务，本文将详细介绍如何使用阿里云ECS（弹性计算服务）搭建一个基于OpenVPN的虚拟专用网络（VPN）服务，实现远程访问内网资源、加密通信和安全接入。

第一步：准备阿里云环境
你需要一个阿里云账号，并确保已开通ECS实例服务，建议选择Linux系统（如CentOS 7或Ubuntu 20.04），因为OpenVPN在Linux上配置最为成熟，登录阿里云控制台，创建一台ECS实例，推荐配置为1核CPU、2GB内存，公网带宽至少5Mbps，操作系统选择“CentOS 7.9”或“Ubuntu 20.04 LTS”，完成部署后，通过SSH工具（如PuTTY或Xshell）连接到ECS服务器。

第二步：安装OpenVPN和Easy-RSA
登录服务器后，执行以下命令更新系统并安装所需软件包：

sudo yum install -y epel-release
sudo yum install -y openvpn easy-rsa
# Ubuntu系统
sudo apt update
sudo apt install -y openvpn easy-rsa

初始化证书颁发机构（CA）密钥对，运行：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

然后编辑vars文件，设置国家、组织等信息，

set_var EASYRSA_COUNTRY "CN"
set_var EASYRSA_PROVINCE "Beijing"
set_var EASYRSA_ORG "MyCompany"
set_var EASYRSA_COMMON_NAME "MyVPN-CA"

第三步：生成证书与密钥
执行以下命令生成CA证书、服务器证书和客户端证书：

./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

第四步：配置OpenVPN服务
复制模板配置文件并修改：

cp /usr/share/doc/openvpn/sample/sample-config-files/server.conf /etc/openvpn/
nano /etc/openvpn/server.conf

关键配置项包括：

• port 1194（默认端口）
• proto udp（UDP协议更高效）
• dev tun（TUN模式用于点对点隧道）
• ca /etc/openvpn/easy-rsa/pki/ca.crt
• cert /etc/openvpn/easy-rsa/pki/issued/server.crt
• key /etc/openvpn/easy-rsa/pki/private/server.key
• dh /etc/openvpn/easy-rsa/pki/dh.pem

启用IP转发和防火墙规则：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

第五步：启动OpenVPN服务

systemctl enable openvpn@server
systemctl start openvpn@server

第六步：导出客户端配置文件
将生成的客户端证书、密钥和CA证书打包成.ovpn文件，供客户端导入使用，在客户端机器上安装OpenVPN客户端，导入该文件即可连接。

注意事项：

• 建议定期轮换证书以增强安全性
• 使用强密码保护证书
• 若需多用户访问,可批量生成客户端证书
• 阿里云需配置安全组放行UDP 1194端口

通过以上步骤,你就可以在阿里云上成功搭建一个功能完整、安全可控的OpenVPN服务，满足远程办公、站点间互联等多种场景需求。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速