在现代企业与远程办公日益普及的背景下,如何通过安全、稳定、高效的方式实现内网访问成为许多网络工程师的核心任务，路由型VPN（Virtual Private Network）因其支持跨子网通信、灵活的策略控制和良好的扩展性，正逐渐取代传统点对点连接方案，本文将带你从零开始，逐步完成一个基于OpenVPN的路由型VPN服务器部署，涵盖环境准备、配置文件编写、防火墙规则设置及测试验证等关键步骤。

我们需要明确什么是“路由型VPN”，与传统的“桥接型”或“NAT型”不同，路由型VPN让客户端接入后能像本地设备一样直接访问局域网内的其他子网资源，无需额外的端口转发或复杂NAT配置，这特别适合多分支机构互联或员工远程办公场景。

硬件与软件环境准备：

• 一台运行Linux（推荐Ubuntu Server 22.04 LTS或CentOS Stream）的物理服务器或云主机；
• 公网IP地址（静态或动态均可，建议使用DDNS服务绑定域名）；
• OpenVPN服务包（可通过apt install openvpn easy-rsa安装）；
• 安全组/防火墙规则允许UDP 1194端口入站（默认OpenVPN端口）；
• 可选：DNS服务器（如Cloudflare 1.1.1.1）用于解析内部服务。

第一步：生成证书与密钥 使用easy-rsa工具创建PKI（公钥基础设施），执行以下命令：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server

生成的ca.crt、server.crt、server.key是核心证书文件，需妥善保管。

第二步：配置OpenVPN服务器 编辑 /etc/openvpn/server.conf 文件，关键参数如下：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"  # 推送内网路由给客户端
push "dhcp-option DNS 1.1.1.1"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

第三步：启用IP转发与iptables规则 确保系统支持IP转发：

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p

添加iptables规则使流量转发畅通：

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

（注：eth0为外网接口名，根据实际调整）

第四步：启动服务并分发客户端配置

systemctl enable openvpn@server
systemctl start openvpn@server

客户端配置文件（client.ovpn）应包含：

client
dev tun
proto udp
remote your-domain.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1
comp-lzo
verb 3

将此文件分发至客户端,并导入到OpenVPN客户端应用中。

进行连通性测试：客户端成功连接后，可ping通内网IP（如192.168.1.1），甚至访问内部Web服务（如http://192.168.1.100:8080），表明路由型VPN已生效。

通过上述步骤,你不仅搭建了一个功能完整的路由型VPN服务器，还掌握了证书管理、路由推送、防火墙配置等核心技能，这种架构具备高安全性（TLS加密+证书认证）、高灵活性（可扩展多个子网）和易维护性（日志清晰、配置标准化），是企业级远程接入的理想选择，网络安全无小事，定期更新证书、监控日志、限制访问权限，才是长期稳定的保障。