如何在专用服务器上安装和配置OpenVPN？

随着互联网的普及，网络安全的重要性也日益凸显。对于需要远程访问公司内部网络或希望保护个人隐私的用户来说，使用OpenVPN是一个理想的选择。本文将详细介绍如何在专用服务器上安装和配置OpenVPN。

一、准备工作

1. 确保您已经拥有一台可以连接到互联网的专用服务器，并且拥有root权限或者具有sudo权限的用户账户。
2. 更新服务器上的软件包列表以确保所有安装都是最新的版本：
对于Debian/Ubuntu系统，执行命令：apt-get update
对于CentOS/RHEL系统，执行命令：yum update
3. 安装必要的依赖项。例如，在Debian/Ubuntu上，您可能需要安装easy-rsa工具来管理证书和密钥对；而在CentOS/RHEL中则通常不需要额外安装该工具。

二、安装OpenVPN

1. 在Debian/Ubuntu系统中，可以通过以下命令轻松安装OpenVPN：
sudo apt-get install openvpn easy-rsa
2. 对于CentOS/RHEL用户，可以使用yum仓库进行安装：
sudo yum install epel-release
sudo yum install openvpn easy-rsa

三、配置OpenVPN服务器

1. 创建一个新的目录用于存放OpenVPN的相关文件（如配置文件、证书等）：
mkdir -p /etc/openvpn/easy-rsa
cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsa/
2. 编辑/etc/openvpn/easy-rsa/vars文件，设置您的国家代码、省份、城市、组织名称等信息。这些信息将被用作生成证书时的一些默认值。
3. 初始化PKI结构并生成CA证书和私钥：
cd /etc/openvpn/easy-rsa
source ./vars
./clean-all
./build-ca
4. 为服务器创建一对公钥和私钥：
./build-key-server server
5. 生成DH参数文件：
openssl dhparam -out dh2048.pem 2048
6. 将所有生成的文件复制到相应的目录下：
cp keys/ca.crt keys/server.crt keys/server.key dh2048.pem /etc/openvpn/
7. 下载客户端配置模板：
wget https://raw.githubusercontent.com/OpenVPN/easy-rsa/master/client.ovpn -O /etc/openvpn/client-template.txt
8. 修改client-template.txt文件中的remote一行，将其更改为您的服务器IP地址或域名，并指定端口号（如1194）。同时还可以根据需要添加其他选项。

四、启动OpenVPN服务

1. 如果是第一次启动OpenVPN服务，则需要先将其设置为开机自启状态：
systemctl enable openvpn@server.service
2. 启动OpenVPN服务：
systemctl start openvpn@server.service
3. 检查OpenVPN服务是否正常运行：
systemctl status openvpn@server.service

五、配置防火墙规则

为了让客户端能够成功连接到OpenVPN服务器，您需要确保防火墙允许UDP端口1194（或其他您选择使用的端口）通过。还需要允许转发来自tun0接口的数据包。具体操作如下：
对于iptables用户：
iptables -A INPUT -i eth0 -p udp –dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state –state ESTABLISHED,RELATED -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
对于firewalld用户：
firewall-cmd –permanent –add-port=1194/udp
firewall-cmd –permanent –add-masquerade
firewall-cmd –reload

六、创建客户端配置文件

最后一步是为每个想要连接到OpenVPN服务器的客户端创建一个单独的配置文件。这可以通过执行以下命令完成：
./build-key client1（其中client1是您为第一个客户端选择的名字）
之后，将生成的所有与client1相关的文件（包括ca.crt、client1.crt、client1.key）复制到您的计算机上，并将其与之前下载下来的client-template.txt合并成一个新的ovpn文件。这样就可以直接双击打开这个文件来建立安全连接了。

以上就是在专用服务器上安装和配置OpenVPN的基本步骤。