手把手教你用OpenVPN搭建简易私有网络，安全访问内网资源

作为一名网络工程师,我经常被问到：“有没有办法在家也能像在公司一样访问内部服务器？”答案是肯定的——通过搭建一个简易的OpenVPN服务，你可以轻松实现远程安全接入内网，无论你身处何地，都能像在局域网中一样访问文件共享、数据库、监控系统等资源，本文将带你一步步完成OpenVPN的简易部署，全程无需复杂配置，适合初学者和小型办公环境使用。

你需要准备一台具备公网IP的服务器（可以是云服务商如阿里云、腾讯云或本地NAS设备），假设你使用的是Ubuntu 20.04或以上版本，我们以它为例进行演示。

第一步：安装OpenVPN和Easy-RSA
打开终端，执行以下命令更新系统并安装必要软件包：

sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa -y

第二步：生成证书和密钥
OpenVPN依赖TLS加密通信，因此我们需要用Easy-RSA工具生成CA证书和客户端证书，运行以下命令初始化PKI目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，设置你的组织信息（如国家、省份、组织名等），然后执行：

./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

这样我们就得到了服务器证书、客户端证书和密钥。

第三步：配置OpenVPN服务器
复制示例配置文件到目标目录，并修改关键参数：

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
sudo nano /etc/openvpn/server.conf

在配置文件中,确保以下内容正确：

• port 1194：默认端口，可改为其他端口避免冲突；
• proto udp：推荐使用UDP协议，性能更好；
• dev tun：使用TUN模式，虚拟隧道；
• ca /etc/openvpn/easy-rsa/pki/ca.crt
• cert /etc/openvpn/easy-rsa/pki/issued/server.crt
• key /etc/openvpn/easy-rsa/pki/private/server.key
• dh /etc/openvpn/easy-rsa/pki/dh.pem（需先生成：./easyrsa gen-dh）

第四步：启用IP转发与防火墙规则
为了让客户端能访问内网，需要开启IP转发：

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

再添加iptables规则（假设内网网段为192.168.1.0/24）：

sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

第五步：启动服务并测试

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

将client1.crt、client1.key、ca.crt打包成.ovpn配置文件，导入到Windows/macOS/Linux客户端即可连接。

这套方案不仅简单易行,而且安全性高，适用于家庭办公、远程运维、小型团队协作等场景，一旦部署成功，你就能随时随地安全访问内网资源，不再受限于地理位置，记住定期更新证书和补丁，保持系统安全！

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速