一、前期准备工作

在开始配置前，你需要准备：

• 云服务器选择：推荐使用Ubuntu 20.04/22.04 LTS或CentOS 7/8系统的云服务器
• 硬件配置：至少1核CPU、1GB内存（支持10-15个并发连接）
• 网络要求：公网IP地址，开放UDP 1194端口（或自定义端口）
• 域名准备（可选）：为方便连接可配置DDNS动态域名

二、OpenVPN服务端安装配置

我们以Ubuntu系统为例，分步骤演示安装过程：

1. 系统更新与依赖安装

sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa -y

2. 证书颁发机构(CA)配置

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
nano vars

修改以下关键参数：

• KEY_COUNTRY（国家代码）
• KEY_PROVINCE（省份）
• KEY_CITY（城市）
• KEY_ORG（组织名称）
• KEY_EMAIL（管理员邮箱）
• KEY_OU（组织单位）

3. 生成证书和密钥

source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

三、服务器配置文件优化

复制示例配置文件并进行定制化修改：

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | sudo tee /etc/openvpn/server.conf

关键配置项建议：

• port 1194 → 可改为非常用端口增强安全性
• proto udp → 性能更好，或改为tcp穿透性强
• dev tun → 路由模式，兼容性更好
• server 10.8.0.0 255.255.255.0 → 定义VPN子网
• push “redirect-gateway def1 bypass-dhcp” → 客户端所有流量走VPN
• push “dhcp-option DNS 8.8.8.8” → 指定DNS服务器

四、系统内核与防火墙配置

1. 启用IP转发

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

2. UFW防火墙规则

sudo ufw allow 1194/udp
sudo ufw allow OpenSSH
sudo ufw enable

3. NAT配置（关键步骤）

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo apt install iptables-persistent
sudo netfilter-persistent save

五、客户端配置与连接测试

1. 生成客户端证书

cd ~/openvpn-ca
source vars
./build-key client1

2. 创建客户端配置文件

创建client.ovpn文件，包含：

client
dev tun
proto udp
remote your_server_ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
<ca>
[粘贴ca.crt内容]
</ca>
<cert>
[粘贴client1.crt内容]
</cert>
<key>
[粘贴client1.key内容]
</key>
<tls-auth>
[粘贴ta.key内容]
</tls-auth>