怎么在腾讯云Linux服务器上搭建VPN及配置步骤？

在部署OpenVPN服务前，需先完成服务器初始化工作。登录腾讯云控制台创建CentOS或Ubuntu系统的云服务器，确保安全组已开放TCP 1194端口。通过以下命令安装必要组件：

• CentOS系统：
  

  sudo yum install -y epel-release
  sudo yum install -y openvpn easy-rsa

• Ubuntu系统：
  

  sudo apt update
  sudo apt install -y openvpn easy-rsa

安装完成后，需将Easy-RSA工具包复制到OpenVPN配置目录：sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/。此时基础环境已就绪，接下来进入证书配置阶段。

证书体系构建

OpenVPN依赖PKI（公钥基础设施）保障通信安全。进入Easy-RSA目录初始化环境：

cd /etc/openvpn/easy-rsa/
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

执行过程中会提示输入证书信息，直接回车使用默认值即可。接着生成服务器证书和密钥：

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

最后创建迪菲-赫尔曼密钥和TLS认证密钥：
sudo ./easyrsa gen-dh
openvpn --genkey --secret pki/ta.key。完成后所有密钥文件将保存在pki目录下，需将ca.crt、server.crt、server.key、dh.pem、ta.key文件复制到/etc/openvpn/server/目录。

服务器配置详解

在/etc/openvpn/server.conf中配置核心参数：

• 网络设置：指定VPN子网为172.16.0.0/24，设置推送路由使客户端能访问内网资源
• 通信协议：使用TCP 1194端口运行服务，兼顾穿透性与稳定性
• 安全策略：启用TLS认证和数据加密，配置用户认证日志记录

典型配置示例如下：

port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 172.16.0.0 255.255.255.0
push “route 192.168.1.0 255.255.255.0”
keepalive 10 120
tls-auth ta.key 0
log /var/log/openvpn.log

用户管理与权限控制

创建客户端证书文件后，需配置用户访问权限。通过修改server.conf实现：

• 添加client-config-dir /etc/openvpn/ccd启用客户端专用配置文件
• 在ccd目录创建对应用户名的配置文件，设置允许访问的网段
• 结合iptables设置防火墙规则，限制VPN用户仅能访问指定服务端口

同时创建用户认证脚本，记录登录信息到/var/log/openvpn.log，格式为“2022-08-10 08:10:30 Successful authentication: username=\”vpnuser1\””。此举既满足审计需求，又便于故障排查。

服务启动与连接测试

使用sudo systemctl start openvpn@server启动服务，并通过systemctl enable openvpn@server设置开机自启。验证服务状态时应检查：

• 1194端口监听状态：netstat -tulnp | grep 1194
• 服务日志输出：tail -f /var/log/openvpn.log
• 客户端配置文件包含ca.crt、client.crt、client.key、ta.key等必要元素

客户端连接成功后，通过ifconfig查看是否获得172.16.0.x段IP，并测试与内网目标主机的连通性。