作为一名资深网络工程师，我经常被问到：“如何在不暴露公司数据的前提下，让远程员工安全访问内网资源？”答案就是——搭建一个稳定、安全的虚拟私人网络（VPN），我将通过图文结合的方式，带你一步步完成从环境准备到配置测试的全过程,哪怕你是新手也能轻松上手。

明确目标：我们要搭建的是基于OpenVPN的站点到站点（Site-to-Site）或远程访问（Remote Access）型VPN，以远程访问为例，适合中小型企业员工在家办公时使用，你需要准备一台服务器（可以是云主机如阿里云、腾讯云，也可以是本地物理机），安装Linux系统（推荐Ubuntu 20.04或CentOS 7）,并确保该服务器拥有公网IP地址。

第一步：环境准备
登录服务器后，更新系统包列表并安装OpenVPN和Easy-RSA（用于证书管理）：

sudo apt update && sudo apt install openvpn easy-rsa -y

第二步：生成证书和密钥
使用Easy-RSA创建PKI（公钥基础设施）：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass
sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server
sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

这一步会生成服务器证书、客户端证书和CA根证书,它们是后续加密通信的核心。

第三步：配置OpenVPN服务器
编辑主配置文件 /etc/openvpn/server.conf,关键参数如下：

• port 1194（默认UDP端口）
• proto udp
• dev tun
• ca ca.crt
• cert server.crt
• key server.key
• dh dh.pem（需运行 ./easyrsa gen-dh 生成）
• server 10.8.0.0 255.255.255.0（分配给客户端的IP段）
• push "redirect-gateway def1 bypass-dhcp"（强制客户端流量走VPN）
• push "dhcp-option DNS 8.8.8.8"（指定DNS）

第四步：启动服务与防火墙设置
启用OpenVPN服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

开放防火墙端口（UFW或iptables）：

sudo ufw allow 1194/udp
sudo sysctl net.ipv4.ip_forward=1

第五步：客户端配置
将服务器生成的 ca.crt、client1.crt、client1.key 下载到客户端电脑，并创建 .ovpn 文件：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
verb 3

测试连接！如果一切顺利，客户端就能通过OpenVPN安全接入内网，实现文件共享、数据库访问等功能，整个过程大约需要30分钟，但值得投入——它不仅提升效率,更保障了企业数据资产的安全。

定期更新证书、监控日志、限制访问权限才是长期运维的关键，如果你希望更进一步，还可以集成双因素认证（如Google Authenticator）或使用WireGuard替代OpenVPN以获得更高性能，网络安全无小事，从搭建第一个VPN开始,你就已经走在正确的路上！