在现代企业网络架构中,安全、稳定且灵活的远程访问能力至关重要，虚拟私人网络（VPN）作为一种加密隧道技术，被广泛用于保护数据传输安全，尤其适用于远程办公、分支机构互联以及云服务接入等场景，作为网络工程师，掌握在服务器上配置VPN连接是一项核心技能，本文将详细介绍如何在Linux服务器（以Ubuntu为例）上搭建和配置OpenVPN服务，帮助你快速实现安全的远程访问。

准备工作必不可少,你需要一台运行Linux系统的服务器（如Ubuntu 20.04或更高版本），并确保它具备公网IP地址（或通过NAT映射暴露端口），需要登录服务器进行命令行操作（推荐使用SSH），安装前，请确保系统已更新至最新状态：

sudo apt update && sudo apt upgrade -y

接下来安装OpenVPN及相关工具,OpenVPN是一个开源、跨平台的VPN解决方案，支持多种认证方式（如用户名/密码、证书等），执行以下命令安装OpenVPN和Easy-RSA（用于生成SSL/TLS证书）：

sudo apt install openvpn easy-rsa -y

配置证书颁发机构（CA）环境，我们使用Easy-RSA脚本生成密钥对，首先复制默认配置文件到本地目录：

make-cadir ~/openvpn-ca
cd ~/openvpn-ca

在该目录下,编辑vars文件，设置你的组织信息（如国家、省份、组织名称等），这将用于后续证书签发，接着执行初始化CA：

./clean-all
./build-ca

此时会提示输入CA的Common Name（如“my-ca”），完成之后，你会获得一个CA证书和私钥。

下一步是为服务器生成证书和密钥,执行：

./build-key-server server

根据提示确认是否签署证书,完成后生成server.crt和server.key，还需要生成客户端证书（每个用户一张）：

./build-key client1

生成Diffie-Hellman参数和TLS密钥（增强安全性）：

./build-dh
openssl dhparam -out dh2048.pem 2048

配置OpenVPN服务,将生成的证书和密钥文件复制到OpenVPN配置目录（通常是/etc/openvpn/），并创建主配置文件/etc/openvpn/server.conf，关键配置项包括：

• port 1194（指定监听端口）
• proto udp（UDP协议更高效）
• dev tun（使用TUN模式）
• ca ca.crt、cert server.crt、key server.key（证书路径）
• dh dh2048.pem（Diffie-Hellman参数）
• server 10.8.0.0 255.255.255.0（分配给客户端的IP段）
• push "redirect-gateway def1 bypass-dhcp"（强制客户端流量走VPN）

配置完成后,启动OpenVPN服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

在防火墙中开放UDP 1194端口（若使用UFW）：

sudo ufw allow 1194/udp

至此,服务器端配置已完成，客户端可通过OpenVPN GUI或命令行工具导入客户端证书和配置文件连接，建议使用.ovpn配置文件，其中包含所有必要参数（如服务器IP、证书路径等）。

在服务器上配置VPN不仅提升远程访问安全性,还能扩展网络边界，通过上述步骤，你可以快速部署一个功能完整的OpenVPN服务，适用于中小型企业或个人开发者使用，记住定期更新证书、监控日志，并结合IPSec或WireGuard等方案进一步优化性能与安全性。