debian12搭建OpenVPN服务器

前言

  最近需要在debian12上搭建OpenVPN服务器，很简单，但是为了后续使用，记录一下踩坑过程。

安装及配置过程

安装easy-rsa创建证书等

  更新系统。

apt update
apt upgrade -y

  安装easy-rsa。

apt install easy-rsa -y

  Easy-RSA 用于生成 SSL/TLS 证书，供 OpenVPN 使用。

make-cadir /opt/easy-rsa
cd /opt/easy-rsa

  结果如下：

  按照自己的需求修改vars文件。

  在 vars 文件修改完成后，执行以下命令来初始化 PKI：

./easyrsa init-pki

  结果如下：

  生成 CA 证书：

./easyrsa build-ca

  结果如下：

  生成 OpenVPN 服务器的证书：

./easyrsa build-server-full server nopass

  结果如下：

  生成OpenVPN客户端证书：

./easyrsa build-client-full client1 nopass

  结果如下：

  生成 Diffie-Hellman 参数，用于加密交换：

./easyrsa gen-dh

  结果如下：

安装openvpn服务器

  安装openvpn服务器

apt install openvpn -y

  安装成功之后，复制 OpenVPN 示例配置文件到 /etc/openvpn/ 目录。

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/

  修改配置文件/etc/openvpn/server.conf，这里我们只需要修改以下几项即可，其他选项的具体意义可根据自己修改。

port 1194
proto udp
dev tun
ca /opt/easy-rsa/pki/ca.crt
cert /opt/easy-rsa/pki/issued/server.crt
key /opt/easy-rsa/pki/private/server.key
dh /opt/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
keepalive 10 120
user nobody
group nogroup
persist-key
persist-tun
verb 3
comp-lzo yes

  启动并启用 OpenVPN 服务器：

systemctl start openvpn@server
systemctl enable openvpn@server

  结果如下：

  至此openvpn的服务段搭建完毕，接下来需要配置防火墙，放行相关服务。

  确保允许OpenVPN使用的端口（例如，1194），并且启用了IP转发。如果没有安装ufw，使用如下命令安装。

apt install ufw -y

  然后配置防火墙。

ufw allow 1194/tcp
ufw allow OpenSSH
ufw enable

  编辑 /etc/sysctl.conf 文件，确保取消注释 net.ipv4.ip_forward=1 这一行，然后执行。

sysctl -p

  使用 ufw，还需要配置NAT规则。在 /etc/ufw/before.rules 文件中添加以下内容：

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/8 ! -d 10.8.0.0/8 -j MASQUERADE
COMMIT

   如下：

  然后重新加载 ufw 配置：

ufw reload

安装openvpn客户端

windows客户端安装

  从openvpn官网下载客户端工具，下载之后默认安装就行。

  安装成功之后复制之前用easy-rsa创建的客户端证书拷贝到默认安装目录的config目录下。

  本例中的文件所在目录为

  然后创建virtvpn.ovpn文件，内容如下：

client
dev tun
proto udp
remote 192.168.5.92 1194
resolv-retry infinite
nobind
ca ca.crt
cert client1.crt
key client1.key
verb 3
persist-key
comp-lzo

  其中remote后面的IP改成自己OpenVPN服务器的IP地址，然后直接连接即可。

  可以通过ping或者ssh连接测试VPN的连通性。

linux客户端安装

  安装linux客户端。

apt install openvpn -y

  同样复制下面三个文件到/etc/openvpn目录下。

  创建/etc/openvpn/client.conf文件，内容如下：

client
dev tun
proto udp
remote 192.168.5.92 1194
resolv-retry infinite
nobind
ca ca.crt
cert client1.crt
key client1.key
verb 3
persist-key
comp-lzo

  保存之后可以启动客户端了。

systemctl start openvpn@client

  如果要开机自启动，使用

systemctl enable openvpn@client

  启动成功之后，通过ping测试连通性。