如何在 VPS 上快速配置并启动 OpenVPN？

在VPS（虚拟专用服务器）上安装和配置OpenVPN可以为用户提供安全的网络连接，确保数据传输的安全性。本文将指导您如何在VPS上快速配置并启动OpenVPN。

准备工作

选择合适的VPS提供商： 您需要选择一个可靠的VPS提供商，如DigitalOcean、Linode或AWS等。确保您的VPS支持OpenVPN，并且操作系统为Linux发行版，例如Ubuntu或CentOS。

获取必要的权限： 确保您拥有对VPS的root访问权限或者具有sudo权限的用户账户，以便能够执行必要的命令进行软件安装与配置。

安装OpenVPN及相关工具

登录到您的VPS后，打开终端并更新现有的软件包列表：
sudo apt update （适用于基于Debian/Ubuntu系统的VPS）
sudo yum update （适用于基于RHEL/CentOS系统的VPS）

接下来，根据所使用的Linux发行版来安装OpenVPN和其他所需的工具：
对于基于Debian/Ubuntu的系统：
sudo apt install openvpn easy-rsa -y
对于基于RHEL/CentOS的系统：
sudo yum install epel-release -y && sudo yum install openvpn easy-rsa -y

配置Easy-RSA证书颁发机构

创建一个新的目录用于存放Easy-RSA文件，并复制默认配置：
sudo mkdir /etc/openvpn/easy-rsa
sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsa/
cd /etc/openvpn/easy-rsa

编辑vars文件以设置CA的相关信息：
nano vars
找到以下几行并根据实际情况修改：
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Beijing"
set_var EASYRSA_REQ_CITY "Beijing"
set_var EASYRSA_REQ_ORG "My Company Name"
set_var EASYRSA_REQ_EMAIL "me@example.com"
set_var EASYRSA_REQ_OU "My Organizational Unit"

初始化PKI环境并生成CA证书：
./easyrsa init-pki
./easyrsa build-ca

生成服务器端证书和密钥

为服务器生成证书请求，并签署它：
./easyrsa gen-req server nopass
./easyrsa sign-req server server

生成DH参数文件：
./easyrsa gen-dh

从Easy-RSA库中复制ta.key文件到/etc/openvpn目录下：
openvpn --genkey --secret pki/ta.key
sudo cp pki/ta.key /etc/openvpn/

配置OpenVPN服务器

现在我们需要创建一个OpenVPN配置文件server.conf。
nano /etc/openvpn/server.conf

添加以下内容到文件中（注意替换实际路径和域名/IP地址）：
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key This file should be kept secret
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key 0 This file is secret
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

保存并关闭文件。

允许IP转发并配置防火墙规则

为了使客户端能够通过OpenVPN隧道访问互联网，我们需要启用IP转发功能：
echo 1 > /proc/sys/net/ipv4/ip_forward

对于基于Debian/Ubuntu的系统，还需要永久化此更改：
nano /etc/sysctl.conf
取消注释以下行：
net.ipv4.ip_forward=1

配置iptables规则以允许转发流量：
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables-save | sudo tee /etc/iptables/rules.v4（仅适用于基于Debian/Ubuntu的系统）

启动OpenVPN服务

使用systemctl命令启动OpenVPN服务并将它设置为开机自启：
sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

检查OpenVPN是否正在运行：
sudo systemctl status openvpn@server

按照上述步骤，您应该能够在VPS上成功地安装、配置并启动OpenVPN。请记得定期检查和维护您的OpenVPN服务器，以确保其稳定性和安全性。如果您遇到了任何问题，请查阅官方文档或寻求社区支持。