随着远程办公和云服务的普及,越来越多的用户希望通过虚拟私有网络(VPN)来加密互联网通信、访问内网资源或绕过地理限制,Linode 作为一家广受欢迎的云服务器提供商,因其稳定性和性价比成为许多用户的首选,本文将详细介绍如何在 Linode VPS 上部署并配置 OpenVPN 服务,打造一个安全、可控的个人或团队专用网络通道。
第一步:准备 Linode 实例
登录 Linode Manager,创建一台新的 Linode 实例(推荐使用 Ubuntu 22.04 LTS 或 Debian 11),选择合适的地理位置和规格(如 2GB RAM/1 CPU,足以支持多个并发连接),完成部署后,记下公网 IP 地址,并通过 SSH 连接到服务器(建议使用密钥认证而非密码)。
第二步:安装 OpenVPN 和 Easy-RSA
更新系统包并安装必要工具:
sudo apt update && sudo apt upgrade -y sudo apt install openvpn easy-rsa -y
设置证书颁发机构(CA)和密钥,复制 Easy-RSA 模板到 /etc/openvpn/easy-rsa 并初始化:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa nano vars # 修改默认参数,如国家、组织名等
然后执行以下命令生成 CA 证书和服务器证书:
./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server
第三步:生成客户端证书与密钥
为每个需要连接的设备生成唯一的客户端证书(client1):
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
第四步:配置 OpenVPN 服务
复制模板文件并修改主配置:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/ nano /etc/openvpn/server.conf
关键配置项包括:
port 1194(可改为其他端口以避开扫描)proto udp(性能更优)dev tun(隧道模式)ca ca.crt,cert server.crt,key server.key(路径对应上一步生成的文件)dh dh.pem(生成 Diffie-Hellman 参数):./easyrsa gen-dh
- 添加
push "redirect-gateway def1 bypass-dhcp"(强制客户端流量走 VPN) - 启用 NAT 转发(允许客户端访问外网):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
第五步:启动并测试
启用 IP 转发:
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p
启动 OpenVPN 服务:
systemctl enable openvpn@server systemctl start openvpn@server
将客户端证书和密钥打包成 .ovpn 文件(包含 CA、客户端证书、密钥及配置),分发给用户,客户端使用 OpenVPN GUI 或 Linux 命令行导入即可连接。
注意事项:
- 定期备份 CA 和密钥,防止丢失;
- 使用防火墙(ufw 或 iptables)限制仅开放 1194 端口;
- 建议结合 Fail2Ban 防止暴力破解;
- 若用于团队,可用 LDAP 或数据库管理多用户权限。
通过以上步骤,你就能在 Linode 上拥有一个功能完整、安全可控的自建 OpenVPN 网络,它不仅适用于个人隐私保护,也能为企业提供远程访问解决方案,真正实现“自己的网络,自己做主”。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
