在当今远程办公、跨地域协作日益普及的背景下，虚拟私人网络（VPN）已成为保障数据传输安全和隐私的核心工具，对于网络工程师而言，掌握手动配置VPN的能力不仅有助于灵活应对不同场景需求，还能深入理解其底层原理，从而优化性能与安全性，本文将详细讲解如何手动配置一个基于OpenVPN的站点到站点（Site-to-Site）或点对点（Client-to-Site）VPN连接，适用于Linux服务器环境（如Ubuntu 20.04/22.04），并涵盖证书生成、服务端与客户端配置、防火墙设置等关键步骤。

你需要一台运行Linux的服务器作为VPN网关,例如AWS EC2实例或本地物理机，安装OpenVPN软件包是第一步，使用命令 sudo apt update && sudo apt install openvpn easy-rsa -y 安装所需组件，Easy-RSA用于生成PKI（公钥基础设施）证书，这是OpenVPN身份验证的基础。

配置证书颁发机构（CA），进入 /etc/openvpn/easy-rsa/ 目录，执行 make-cadir /etc/openvpn/easy-rsa/myca 创建一个CA目录，然后进入该目录，编辑 vars 文件设定国家、组织名等参数，最后运行 ./clean-all 清理旧证书，再执行 ./build-ca 生成根证书（ca.crt）。

随后,为服务器生成证书和密钥：执行 ./build-key-server server，系统会提示确认是否签名，输入“yes”即可，同样，为客户端生成证书：./build-key client1（可重复生成多个客户端证书），所有证书生成完成后，复制到OpenVPN配置目录：cp /etc/openvpn/easy-rsa/myca/keys/{ca.crt,server.crt,server.key} /etc/openvpn/。

现在配置服务端文件,创建 /etc/openvpn/server.conf包括：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

注意：dh.pem 可通过 openssl dhparam -out dh.pem 2048 生成。

启用IP转发并配置iptables规则以允许流量转发：

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

在客户端设备上安装OpenVPN客户端（Windows可用OpenVPN GUI，Linux可用openvpn命令行工具），配置.ovpn文件，包含如下内容：

client
dev tun
proto udp
remote your-vpn-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

测试连接时,若出现“TLS handshake failed”，请检查证书是否匹配；若无法访问内网资源，请确认服务器IP转发和路由规则已正确配置。

手动配置VPN虽然略显复杂,但其优势在于完全可控、高度定制化，适合企业级部署或高级用户，掌握此技能，不仅能提升网络安全防护能力，还能增强对TCP/IP协议栈的理解，是每一位网络工程师进阶路上不可或缺的一环。