在当今数字化办公和远程协作日益普及的背景下，如何安全、高效地实现远程访问内网资源成为许多企业和个人用户的核心需求，虚拟机（VM）作为灵活、可复用的计算环境，为搭建本地化VPN服务提供了理想的平台，本文将详细讲解如何在虚拟机中部署一个基于OpenVPN的服务，帮助你构建私有、加密、可控的远程访问通道。

准备工作必不可少，你需要一台支持虚拟化的主机（如Windows或Linux），并安装虚拟机软件（推荐使用VirtualBox或VMware Workstation），选择一个轻量级操作系统作为虚拟机系统，例如Ubuntu Server 22.04 LTS，确保虚拟机拥有静态IP地址，并能访问外网（用于下载软件包和证书生成工具）。

第二步是安装OpenVPN服务，登录到Ubuntu虚拟机后，打开终端,执行以下命令更新系统并安装OpenVPN及相关依赖：

sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa -y

安装完成后，需要配置PKI（公钥基础设施）以生成数字证书，运行以下命令初始化证书颁发机构（CA）：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，设置国家、组织等信息（如CN=MyCompany, O=HomeLab）,然后执行：

./clean-all
./build-ca
./build-key-server server
./build-key client1
./build-dh

这些命令会依次生成CA根证书、服务器证书、客户端证书及Diffie-Hellman参数,这是保障通信安全的基础。

第三步是配置OpenVPN服务器,复制示例配置文件：

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
gunzip /etc/openvpn/server.conf.gz

修改/etc/openvpn/server.conf中的关键参数,包括：

• port 1194（默认端口,可根据需要调整）
• proto udp（UDP性能优于TCP,适合多数场景）
• dev tun（创建TUN虚拟网卡）
• ca ca.crt、cert server.crt、key server.key（指定证书路径）
• dh dh.pem（指定Diffie-Hellman参数）
• server 10.8.0.0 255.255.255.0（定义内部IP段）
• push "redirect-gateway def1 bypass-dhcp"（强制客户端流量走VPN）
• push "dhcp-option DNS 8.8.8.8"（推送DNS）

保存后，启用IP转发功能（使虚拟机充当网关）：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

启动OpenVPN服务并设置开机自启：

systemctl start openvpn@server
systemctl enable openvpn@server

你的虚拟机已成功运行OpenVPN服务器，客户端只需将client1.crt、client1.key、ca.crt合并为.ovpn配置文件,导入OpenVPN客户端即可连接。

该方案的优势在于：部署简单、成本低、安全性高（TLS+AES加密）、易于扩展（可添加多个客户端），特别适合家庭办公、小型团队或测试环境使用，也需注意防火墙规则（开放1194端口）和定期更新证书,确保长期稳定运行。

通过以上步骤，你不仅能掌握虚拟机中搭建VPN的核心技术，还能深入理解网络隧道、证书体系与路由控制机制,为后续学习更复杂的网络架构打下坚实基础。