首页 / VPN翻墙 / SUSE Linux Enterprise Server 11 中配置 OpenVPN 的完整指南

SUSE Linux Enterprise Server 11 中配置 OpenVPN 的完整指南

khdsff1 2026-05-22 2 0

在企业网络环境中，安全的远程访问是保障业务连续性和数据隐私的关键，SUSE Linux Enterprise Server (SLES) 11 作为一款成熟、稳定的企业级操作系统，广泛应用于数据中心和服务器环境，为了实现远程用户或分支机构的安全接入，OpenVPN 是一个开源且功能强大的解决方案，本文将详细介绍如何在 SUSE Linux Enterprise Server 11 上部署和配置 OpenVPN，包括证书生成、服务配置、防火墙规则设置及客户端连接测试。

准备工作
首先确保系统已安装 OpenVPN 软件包，可通过 YaST（SUSE 的图形化管理工具）或命令行进行安装：

sudo zypper install openvpn

建议安装 Easy-RSA 工具用于证书管理，它是 OpenVPN 官方推荐的 PKI（公钥基础设施）管理工具：

sudo zypper install easy-rsa

生成证书与密钥（PKI 设置）
使用 Easy-RSA 创建 CA（证书颁发机构）、服务器证书和客户端证书：

复制 Easy-RSA 配置到 /etc/openvpn/easy-rsa：

sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/
cd /etc/openvpn/easy-rsa/2.0/

编辑 vars 文件，修改以下变量以适应你的组织信息（如国家、省份、组织名等）：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"

初始化 PKI 并生成 CA 证书：
```
./clean-all
./build-ca
```
生成服务器证书和密钥：
```
./build-key-server server
```
为每个客户端生成单独的证书（client1）：
```
./build-key client1
```
生成 Diffie-Hellman 参数（用于密钥交换）：
```
./build-dh
```

配置 OpenVPN 服务端
创建主配置文件 /etc/openvpn/server.conf如下：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"  # 推送内网路由
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

启用 IP 转发与 NAT（若需访问外网）
编辑 /etc/sysconfig/network/config，确保启用 IP 转发：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

添加 iptables 规则实现 NAT：

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

启动并测试服务
启动 OpenVPN 服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

检查日志：

journalctl -u openvpn@server

客户端配置与连接
客户端需要以下文件：ca.crt、client1.crt、client1.key 和配置文件（如 client.ovpn）：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

将此配置文件导入 OpenVPN GUI 或命令行客户端,即可成功建立加密隧道。

通过以上步骤，你可以在 SUSE Linux Enterprise Server 11 上成功部署 OpenVPN 服务，为远程用户提供安全、稳定的网络访问，该方案适用于中小型企业或开发测试环境，具备高灵活性和可扩展性，注意定期更新证书、监控日志,并结合防火墙策略进一步增强安全性。

SUSE Linux Enterprise Server 11 中配置 OpenVPN 的完整指南第1张