在当今远程办公和跨地域访问日益普遍的背景下,Linux系统因其稳定性、灵活性和安全性成为许多企业和个人用户的首选操作系统,而虚拟私人网络(VPN)作为保障数据传输隐私与安全的重要工具,在Linux环境中同样不可或缺,本文将为你详细介绍如何在Linux系统上搭建并使用VPN服务,涵盖OpenVPN和WireGuard两种主流协议,适合初学者到中级用户参考。

准备工作
在开始之前,请确保你拥有以下条件:

  1. 一台运行Linux(如Ubuntu、CentOS或Debian)的服务器或本地PC;
  2. 一个公网IP地址(用于服务器端);
  3. 基本的命令行操作能力(如使用终端、编辑文本文件);
  4. 若使用云服务器(如阿里云、AWS),需开放相关端口(如OpenVPN默认UDP 1194,WireGuard默认UDP 51820)。

使用OpenVPN搭建服务器(以Ubuntu为例)

  1. 安装OpenVPN和Easy-RSA(证书生成工具): 

    sudo apt update && sudo apt install openvpn easy-rsa -y

  2. 初始化证书颁发机构(CA): 

    make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

  3. 生成服务器证书和密钥: 

    sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

  4. 生成Diffie-Hellman参数和TLS密钥: 

    sudo ./easyrsa gen-dh
sudo openvpn --genkey --secret ta.key

  5. 配置OpenVPN服务:
    创建 /etc/openvpn/server.conf 文件,内容如下: 

    port 1194  
proto udp  
dev tun  
ca /etc/openvpn/easy-rsa/pki/ca.crt  
cert /etc/openvpn/easy-rsa/pki/issued/server.crt  
key /etc/openvpn/easy-rsa/pki/private/server.key  
dh /etc/openvpn/easy-rsa/pki/dh.pem  
server 10.8.0.0 255.255.255.0  
push "redirect-gateway def1 bypass-dhcp"  
push "dhcp-option DNS 8.8.8.8"  
keepalive 10 120  
tls-auth ta.key 0  
cipher AES-256-CBC  
auth SHA256  
user nobody  
group nogroup  
persist-key  
persist-tun  
status openvpn-status.log  
verb 3

  6. 启动服务并设置开机自启: 

    sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

客户端配置(以Ubuntu桌面为例)

  1. 下载服务器证书和配置文件(如server.conf、ca.crt、ta.key等)至本地。

  2. 创建客户端配置文件 client.ovpn

    client  
dev tun  
proto udp  
remote your-server-ip 1194  
resolv-retry infinite  
nobind  
persist-key  
persist-tun  
ca ca.crt  
cert client.crt  
key client.key  
tls-auth ta.key 1  
cipher AES-256-CBC  
auth SHA256  
verb 3

  3. 使用OpenVPN GUI或命令行连接: 

    sudo openvpn --config client.ovpn

推荐替代方案:WireGuard(更高效轻量)
WireGuard是新一代VPN协议,性能优于OpenVPN,安装方式: 

sudo apt install wireguard-tools -y

配置更简单,只需生成密钥对并修改配置文件即可,它更适合移动设备和高并发场景。

安全建议

  • 定期更新服务器和客户端软件;
  • 使用强密码和双因素认证;
  • 避免暴露端口给公网,可结合防火墙(如ufw)限制IP访问;
  • 使用自签名证书而非默认配置,增强安全性。

通过以上步骤,你可以在Linux系统中轻松搭建和使用安全可靠的VPN服务,无论是远程办公还是访问内网资源,都能实现无缝且加密的通信体验,合理配置是保障网络安全的第一步!

Linux下搭建与使用VPN的完整教程,从配置到安全优化 第1张

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN