OpenVPN 部署教程

在远程办公、数据安全和内网访问的场景中，VPN（虚拟专用网络）是一种必不可少的工具。其中，OpenVPN 以其开源、安全、稳定和跨平台的特性，成为企业和个人自建 VPN 的首选。

请注意，此处并非讨论“科学”上网的方法，而是更安全地远程访问私人网络的首选手段而已。在前文中，介绍 DDNS 时曾强烈推荐通过以 VPN 的方式访问内网告别内网穿透！家庭宽带动态公网 IP + DDNS，安全访问家中设备！，今天我们就来拿下它！

什么是 OpenVPN？

OpenVPN 是一款基于 SSL/TLS 加密的开源 VPN 解决方案，它是众多 VPN 方案中的一种，OpenVPN 协议最初就是由 OpenVPN Technologies, Inc.（也就是现在运营 openvpn.net 的公司）设计和发布的，需要注意的是，OpenVPN 既是一种 VPN 协议，也是一个开源软件实现。

它分为两个版本：社区版（OpenVPN Community Edition）是开源的，遵循 GPLv2 许可证，任何人都可以用它来搭建自己的 VPN 服务。商业版（OpenVPN Access Server）是在社区版基础上做了额外功能和管理界面的付费版本。

• • 在公共网络中建立加密隧道，防止数据被窃听

• • 支持多种加密算法（AES-256、ChaCha20 等）

• • 跨平台运行（Windows、macOS、Linux、Android、iOS）

• • 支持灵活的身份验证（证书、用户名密码、双因素等）

简单理解：OpenVPN 就像一个加密邮递员，把你的网络数据安全地送达目的地。

为什么选择 OpenVPN？

• • 安全性高：采用 SSL/TLS 标准加密，支持 Perfect Forward Secrecy

• • 开源可控：代码透明，可自行搭建，不依赖第三方

• • 兼容性强：适用于各类操作系统和设备

• • 社区活跃：文档丰富，插件多

部署 OpenVPN 的常见场景

1. 1. 企业内网访问：远程员工通过 VPN 访问公司资源

2. 2. 家庭 NAS 访问：出差时访问家中的文件和媒体

3. 3. 跨地域组网：连接不同城市或国家的数据中心

4. 4. 安全上网：在公共 Wi-Fi 环境下保护数据安全

云主机部署 OpenVPN（服务端）

下面以 Ubuntu 22.04 云主机 为例进行演示：

环境准备

• • 云服务器（国内节点需要备案）

• • 已解析到服务器 IP 的域名（如 openvpn.example.com）

• • SSH 登录权限

1. 安装 OpenVPN 和 Easy-RSA

sudo apt update
sudo apt install openvpn easy-rsa -y

2. 使用安装脚本快速部署

为了减少配置时间，我们用官方推荐的安装脚本：

wget https://git.io/vpn -O openvpn-install.sh
chmod +x openvpn-install.sh
sudo ./openvpn-install.sh

按提示选择：

• • 协议：UDP（默认端口 1194）

• • DNS：可选 Cloudflare (1.1.1.1)

• • 客户端名：根据实际情况填写，如 nasclient

执行结束后，会生成一个 .ovpn 客户端配置文件。

3. 配置 Let’s Encrypt 证书（可选，提升安全性）

sudo apt install certbot -y
sudo certbot certonly --standalone -d vpn.example.com

证书路径：

/etc/letsencrypt/live/vpn.example.com/fullchain.pem
/etc/letsencrypt/live/vpn.example.com/privkey.pem

在 /etc/openvpn/server.conf 中修改：

cert /etc/letsencrypt/live/vpn.example.com/fullchain.pem
key /etc/letsencrypt/live/vpn.example.com/privkey.pem

然后重启：

sudo systemctl restart openvpn@server

4. 客户端连接

将生成的 .ovpn 文件传到电脑或手机，使用 OpenVPN 官方客户端导入并连接。

5. 维护与优化

• • 日志监控：cat /var/log/openvpn-status.log

• • 自动续期证书：

sudo crontab -e

添加：

0 3 * * * certbot renew --quiet --post-hook "systemctl restart openvpn@server"

• • 防火墙配置：

sudo ufw allow 1194/udp

NAS 上部署 OpenVPN（服务端）

下面以 群晖 NAS 设备 为例进行演示:

安装 VPN Server 套件

进入群晖 DSM > 套件中心 > 搜索并安装「VPN Server」。

📌 中国区官网已经不提供该套件的下载了，可通过全球站点进行下载：
https://www.synology.com/en-global/support/download

配置 OpenVPN 服务

打开 VPN Server > OpenVPN > 启用服务，设置如下：

• • 端口：默认 1194（可自定义）

• • 协议：UDP（推荐，TCP 亦可）

• • 加密：AES-256-CBC（推荐）

• • 认证方式：基于账户或证书登录

生成并导出配置文件

点击「导出配置」，获得 .ovpn 文件。
注意修改：将文件中的 your_server_ip 替换为公网 IP 或 DDNS 域名（强烈建议选择域名方式）。

路由器端口映射

在路由器设置端口转发，将 NAS 的 1194 端口映射至公网，确保外网可访问。

客户端连接测试

使用 OpenVPN 客户端导入 .ovpn 文件，即可连接 NAS 实现远程访问。

客户端推荐

支持 OpenVPN 协议 的客户端很多，既有官方的，也有第三方跨平台版本。

官方客户端：https://openvpn.net

第三方客户端（Mac 专属，免费、开源）：https://tunnelblick.net

第三方客户端（Mac & Win，商业软件、稳定）：

https://www.sparklabs.com/viscosity

写在最后

OpenVPN 以其强大的安全性和灵活性，适用于各种 VPN 场景。通过云主机部署，你可以快速获得一个专属、安全、可控的网络通道。如果配合 Let’s Encrypt 证书，还能进一步增强安全性，防止中间人攻击。

OpenVPN 作为开源 VPN 领域的标杆产品，在过去 20 年里证明了自己的价值。它不仅为全球用户提供了安全、稳定的 VPN 服务，更是推动了整个 VPN 行业的发展。

虽然面临新技术的挑战（如 WireGuard），但 OpenVPN 凭借其成熟稳定、功能丰富、社区活跃的优势，仍将在很长时间内保持重要地位。对于想要深入了解 VPN技术的朋友来说，OpenVPN 无疑是最佳的学习起点。

无论是个人用户还是企业，OpenVPN 都能提供可靠的安全连接解决方案。在数字化转型的大潮中，掌握 OpenVPN 技术不仅能满足当前的安全需求，更是为未来的技术发展做好准备。

正如 OpenVPN 的口号所说："Secure. Reliable. Everywhere."（安全、可靠、无处不在），这个开源项目将继续为互联网安全贡献自己的力量。