CentOS系统

VPN梯子 26 May 2026

阿里云服务器搭建VPN：安全、高效网络访问的实战指南

在当今数字化时代,企业与个人用户对远程办公、跨地域数据传输和网络安全的需求日益增长，阿里云作为国内领先的云计算服务提供商，提供了稳定可靠的云服务器（ECS）资源，是搭建虚拟私人网络（VPN）的理想平台，本文将详细介绍如何在阿里云服务器上部署一个安全、高效的OpenVPN服务，帮助用户实现加密通信、远程访问内网资源或构建私有网络通道。

第一步：准备阿里云服务器环境
登录阿里云控制台，创建一台ECS实例，建议选择CentOS 7或Ubuntu 20.04以上版本的操作系统，确保基础软件包已更新，配置安全组规则，开放UDP端口1194（OpenVPN默认端口），同时允许SSH连接（端口22）用于管理，注意：为增强安全性，建议将SSH端口改为非标准端口，并启用密钥认证方式。

第二步：安装并配置OpenVPN
通过SSH连接到服务器后，使用包管理器安装OpenVPN及相关工具：

sudo yum install openvpn easy-rsa -y
# Ubuntu系统
sudo apt update && sudo apt install openvpn easy-rsa -y

初始化PKI（公钥基础设施）环境，执行以下命令生成证书颁发机构（CA）和服务器证书：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass  # 创建CA证书，不设置密码
sudo ./easyrsa gen-req server nopass  # 生成服务器证书请求
sudo ./easyrsa sign-req server server  # 签署服务器证书

第三步：生成客户端证书与密钥
每个需要连接的设备都需要独立的客户端证书，为名为“client1”的用户生成证书：

sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

完成后,将ca.crt、client1.crt、client1.key文件打包分发给客户端，这些是建立安全连接的关键凭证。

第四步：配置OpenVPN服务
复制模板配置文件并编辑 /etc/openvpn/server.conf：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

此配置启用了IP地址分配、DNS重定向、压缩功能，并设置了日志级别。

第五步：启动服务并配置防火墙
运行以下命令启动OpenVPN服务：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

若使用iptables,添加转发规则以支持NAT：

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

第六步：客户端配置与连接测试
在Windows或Linux客户端上安装OpenVPN客户端软件，导入之前生成的证书文件，创建.ovpn配置文件，包含服务器IP、端口、协议及证书路径，连接成功后，可通过访问内网资源或浏览外网来验证功能。

通过上述步骤，你可以在阿里云服务器上成功搭建一个基于OpenVPN的安全网络隧道，该方案不仅成本低廉，而且灵活性高，适用于远程办公、分支机构互联、数据加密传输等场景，务必定期更新证书、监控日志、加固系统权限，以保障长期稳定运行，对于更复杂需求，还可结合阿里云VPC、SLB或自建CA体系进一步优化架构。

CentOS系统