在当今远程办公和云服务器普及的背景下,为VPS(虚拟专用服务器)配置一个稳定、安全的VPN服务已成为网络工程师的必备技能,Ubuntu 14.04虽然已进入EOL(生命周期结束)状态,但其作为经典LTS版本,在部分遗留系统中仍被广泛使用,本文将详细介绍如何在Ubuntu 14.04 VPS上部署OpenVPN服务,实现安全的远程访问与内网穿透功能。
确保你的VPS满足基本要求:一台运行Ubuntu 14.04 Server的VPS(推荐至少1核CPU、1GB内存)、公网IP地址、root权限或sudo权限,登录后,更新系统软件包:
sudo apt-get update && sudo apt-get upgrade -y
接着安装OpenVPN及相关工具:
sudo apt-get install openvpn easy-rsa -y
Easy-RSA用于生成SSL/TLS证书和密钥,是OpenVPN认证的核心组件。
创建证书颁发机构(CA):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,设置国家、组织等信息(如export KEY_COUNTRY="CN"),然后执行以下命令生成CA证书:
./clean-all ./build-ca
接下来生成服务器证书和密钥:
./build-key-server server
根据提示输入相关信息,确认“Sign the certificate?”选择yes。
为客户端生成证书(每台设备需单独生成):
./build-key client1
生成Diffie-Hellman参数(此步骤耗时较长):
./build-dh
现在配置OpenVPN服务,复制示例配置文件:
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ sudo gunzip /etc/openvpn/server.conf.gz
编辑/etc/openvpn/server.conf,关键修改如下:
port 1194(默认端口,可改为其他)proto udp(推荐UDP协议)dev tun(TUN模式)ca ca.crtcert server.crtkey server.keydh dh2048.pemserver 10.8.0.0 255.255.255.0(分配给客户端的IP段)push "redirect-gateway def1 bypass-dhcp"(使客户端流量走VPN)push "dhcp-option DNS 8.8.8.8"(指定DNS)
启用IP转发(让VPS能转发数据包):
echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf sudo sysctl -p
配置防火墙(若使用UFW):
sudo ufw allow 1194/udp sudo ufw allow OpenSSH sudo ufw enable
启动OpenVPN服务并设置开机自启:
sudo service openvpn start sudo systemctl enable openvpn
客户端配置:将生成的证书文件(ca.crt、client1.crt、client1.key)和client.ovpn配置文件打包发送给用户。client.ovpn
client
dev tun
proto udp
remote your-vps-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 3至此,客户端可通过OpenVPN连接到VPS,实现加密隧道访问内网资源,用户可在家中通过该VPN访问部署在VPS上的Web应用或数据库。
注意事项:Ubuntu 14.04已停止维护,建议尽快迁移至Ubuntu 20.04+或Debian 11+等长期支持版本以获取安全更新,若必须使用旧版系统,请定期手动检查漏洞并使用iptables规则加强防护。
通过本方案,你不仅获得了可靠的远程访问能力,还掌握了OpenVPN核心原理——基于证书的身份验证与IP隧道技术,这为后续部署更复杂的网络架构(如多租户VPC)打下坚实基础。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
