在当今远程办公与跨地域协作日益普及的背景下,虚拟私人网络(VPN)已成为保障数据安全、访问内网资源的重要工具,许多用户需要通过手动配置的方式建立自己的VPN连接,尤其在企业内部部署或对隐私有更高要求的场景中,本文将详细介绍如何手动建立一个基于OpenVPN协议的本地VPN连接,适用于Windows、macOS和Linux系统,帮助你掌握基础但关键的网络隧道技术。
你需要准备以下条件:
- 一台运行OpenVPN服务端的服务器(可以是云主机如AWS EC2、阿里云ECS等);
- 一个公网IP地址;
- OpenVPN软件包(服务端与客户端);
- 证书与密钥(可通过Easy-RSA生成);
- 基本的命令行操作能力。
第一步是配置OpenVPN服务端,以Ubuntu为例,先安装OpenVPN及相关工具:
sudo apt update && sudo apt install openvpn easy-rsa -y
接着使用Easy-RSA生成CA证书和服务器证书:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
然后生成TLS密钥交换文件(tls-auth)和Diffie-Hellman参数:
sudo ./easyrsa gen-dh sudo openvpn --genkey --secret ta.key
接下来编辑服务器配置文件 /etc/openvpn/server.conf,设置如下关键参数:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3保存后启动服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
此时服务端已就绪,客户端需获取证书、CA根证书、TLS密钥及配置文件,可将这些文件打包发送至客户端设备(如笔记本电脑),并创建客户端配置文件 client.ovpn:
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1
comp-lzo
verb 3在客户端执行:
- Windows:双击
.ovpn文件,用OpenVPN GUI导入; - macOS/Linux:使用命令行
sudo openvpn --config client.ovpn启动连接。
成功连接后,你的设备将获得一个私有IP(如10.8.0.x),所有流量将加密并通过服务器转发,实现“隐身”访问目标网络。
手动配置VPN虽然略显复杂,但它赋予你完全的控制权,避免依赖第三方服务商,适合有技术背景的用户或企业IT管理员,掌握这一技能,不仅能提升网络安全意识,也能在突发断网时快速恢复业务连通性。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
