在当今远程办公和跨地域访问日益普遍的背景下,虚拟私人网络(VPN)已成为Linux用户保障网络安全、绕过地理限制或连接企业内网的重要工具,无论你是个人用户希望加密上网流量,还是IT管理员需要为团队搭建私有安全通道,掌握在Linux系统上安装和配置VPN服务都是一项关键技能,本文将详细介绍如何在主流Linux发行版(如Ubuntu、CentOS)中部署OpenVPN和WireGuard两种常见开源VPN协议,确保你拥有一个稳定、安全且易于维护的网络环境。
我们以OpenVPN为例,这是目前最成熟、支持最广泛的开源VPN解决方案之一,假设你使用的是Ubuntu 22.04 LTS,可以通过以下步骤安装:
-
更新系统并安装必要依赖:
sudo apt update && sudo apt upgrade -y sudo apt install openvpn easy-rsa -y
-
配置证书颁发机构(CA)和服务器密钥,运行以下命令生成PKI结构:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-dh
-
创建服务器配置文件
/etc/openvpn/server.conf包括监听端口(默认UDP 1194)、TLS认证、加密算法(AES-256-CBC)、IP池分配等。port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/pki/ca.crt cert /etc/openvpn/easy-rsa/pki/issued/server.crt key /etc/openvpn/easy-rsa/pki/private/server.key dh /etc/openvpn/easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3 -
启动服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
接下来是更现代、性能更高的WireGuard方案,它采用轻量级架构,无需复杂证书管理,只需交换公钥即可建立加密隧道,安装WireGuard:
sudo apt install wireguard resolvconf -y
创建配置文件 /etc/wireguard/wg0.conf,包含服务器端私钥、公网IP、客户端允许IP等信息。
[Interface]
PrivateKey = <服务器私钥>
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <客户端公钥>
AllowedIPs = 10.0.0.2/32务必进行安全加固:启用防火墙(UFW或iptables)、禁用root登录、定期更新软件包、启用日志审计,并考虑结合Fail2Ban防止暴力破解,推荐使用DNS加密(如DoH)和多因素认证(MFA)进一步提升安全性。
通过以上步骤,你可以在Linux环境中轻松构建出既高效又安全的VPN服务,无论是家庭用途还是小型企业部署,都能满足多样化需求,网络配置的核心在于“先测试、再上线”,建议在非生产环境中充分验证后再正式投入使用。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
