在现代网络环境中,远程访问企业内网资源、保障数据传输安全已成为许多组织的刚需,对于资源有限或测试环境中的用户而言,仅使用单网卡的服务器搭建一个稳定、安全的VPN服务是极具实用价值的选择,本文将详细介绍如何在一台仅有单一网络接口(即单网卡)的Linux服务器上部署OpenVPN服务,并确保其安全性与可用性。
准备工作必不可少,你需要一台运行Linux系统的服务器(推荐Ubuntu 20.04 LTS或CentOS Stream 9),具备公网IP地址(若为云主机需确保安全组放行UDP 1194端口),并拥有root权限,我们选择OpenVPN作为VPN协议,因其开源、成熟、支持多种加密方式,且社区文档丰富。
第一步是安装OpenVPN及相关工具,以Ubuntu为例,执行以下命令:
sudo apt update sudo apt install openvpn easy-rsa -y
Easy-RSA用于生成证书和密钥,是OpenVPN身份认证的核心组件。
第二步是配置证书颁发机构(CA),进入Easy-RSA目录并初始化:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo cp vars.example vars
编辑vars文件,设置国家、组织名称等信息,然后执行:
sudo ./easyrsa init-pki sudo ./easyrsa build-ca
这一步会生成CA根证书,后续所有客户端和服务端证书都基于此签发。
第三步是生成服务器证书和密钥:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
同时生成Diffie-Hellman参数以增强加密强度:
sudo ./easyrsa gen-dh
第四步是创建OpenVPN服务器配置文件,新建 /etc/openvpn/server.conf如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3该配置启用TUN模式、动态IP分配(10.8.0.0/24网段)、自动路由重定向(使客户端流量走VPN隧道),并推送Google公共DNS。
第五步启动服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
生成客户端配置文件(如client.ovpn)供用户导入,包含CA证书、客户端证书、密钥及上述服务器地址,务必保护好私钥,避免泄露。
单网卡部署的优势在于简化拓扑结构,适合家庭办公或小型团队使用,但要注意:防火墙规则必须开放UDP 1194端口;建议结合fail2ban防止暴力破解;定期更新证书和软件版本以应对已知漏洞。
单网卡下搭建OpenVPN不仅可行,而且灵活高效,只要遵循标准流程、合理配置并注重安全防护,即可构建一个可靠的远程接入平台,满足日常办公、开发调试等多种场景需求。
半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速
