在当今数字化时代，网络安全变得愈发重要，无论是远程访问家庭网络资源、保护公共Wi-Fi下的隐私，还是为远程办公提供加密隧道，使用虚拟私人网络（VPN）已成为许多用户的标准配置，而树莓派（Raspberry Pi）因其低成本、低功耗和高度可定制性，成为搭建个人小型VPN服务器的理想平台，本文将详细介绍如何在树莓派上设置OpenVPN服务，帮助你打造一个稳定、安全的私有网络通道。

第一步：准备硬件与软件环境
你需要一台运行Raspberry Pi OS（推荐使用最新版的Raspberry Pi OS Lite，轻量无桌面系统更高效）的树莓派设备，确保它已连接到互联网，并通过SSH或直接连接显示器进行操作，建议使用静态IP地址，避免因DHCP分配变化导致连接失败，若未设置静态IP，可通过编辑/etc/dhcpcd.conf文件实现。

第二步：安装OpenVPN及相关工具
打开终端,执行以下命令更新系统并安装OpenVPN：

sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa -y

Easy-RSA用于生成证书和密钥,是OpenVPN身份认证的核心组件。

第三步：配置PKI（公钥基础设施）
进入Easy-RSA目录并初始化：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，设置国家、组织名称等信息（如需自定义）,然后执行：

./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-dh

这些步骤会生成CA根证书、服务器证书、密钥及Diffie-Hellman参数,为后续加密通信奠定基础。

第四步：配置OpenVPN服务器
复制默认配置模板：

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/

编辑该文件,关键修改包括：

• port 1194：指定端口（可改用UDP 1194或TCP 443）
• proto udp：选择协议（UDP性能更好）
• dev tun：使用隧道模式
• ca ca.crt、cert server.crt、key server.key：引用生成的证书文件
• dh dh.pem：引入Diffie-Hellman参数
• push "redirect-gateway def1 bypass-dhcp"：启用客户端路由重定向（使所有流量走VPN）

第五步：启用IP转发与防火墙规则
编辑/etc/sysctl.conf，取消注释net.ipv4.ip_forward=1,然后执行：

sudo sysctl -p

配置iptables规则以允许转发流量：

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

为持久化规则，可安装iptables-persistent包保存配置。

第六步：启动服务并测试
启用并启动OpenVPN服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

可在客户端设备（手机、电脑）上导入证书和配置文件，连接至你的树莓派IP地址，成功连接后，所有流量将被加密并通过树莓派出口，实现真正的“翻墙”式安全访问。

通过上述步骤，你不仅获得了一个功能完整的个人VPN服务器，还掌握了Linux网络配置、证书管理与防火墙策略的核心技能，树莓派作为边缘计算节点，适合长期运行且成本低廉，未来还可扩展支持WireGuard（更快更轻量），进一步优化体验，合法合规使用VPN至关重要,切勿用于非法用途。