RockyLinux VPN服务器配置指南（手把手教你搭建安全可靠的OpenVPN服务）

一、准备工作

在开始之前，请确保你已满足以下条件：

• 一台运行 Rocky Linux 8 或 9 的服务器（建议使用最小化安装）
• 拥有 root 权限或可使用 sudo 的用户账户
• 服务器具有公网 IP 地址（或可通过端口转发访问）
• 防火墙开放 UDP 1194 端口（OpenVPN 默认端口）

二、更新系统并安装必要软件

首先，通过 SSH 登录你的 Rocky Linux 服务器，并执行以下命令更新系统：

sudo dnf update -ysudo dnf install -y epel-releasesudo dnf install -y openvpn easy-rsa iptables-services

这里我们安装了 OpenVPN 以及用于生成证书的 easy-rsa 工具包。

三、配置 PKI（公钥基础设施）

我们将使用 Easy-RSA 3 来生成 CA（证书颁发机构）、服务器和客户端证书。

# 复制 easy-rsa 模板到 /etc/openvpn 目录sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsacd /etc/openvpn/easy-rsa# 初始化 PKIsudo ./easyrsa init-pki# 构建 CA（按提示输入 CA 名称，如 "MyVPNCa"）sudo ./easyrsa build-ca# 生成服务器证书和密钥（server 为服务器名）sudo ./easyrsa build-server-full server nopass# 生成 Diffie-Hellman 参数（用于密钥交换）sudo ./easyrsa gen-dh# 生成 HMAC 签名以增强安全性sudo openvpn --genkey --secret pki/ta.key

四、配置 OpenVPN 服务端

复制官方示例配置文件并进行修改：

sudo cp /usr/share/doc/openvpn/sample/sample-config-files/server.conf /etc/openvpn/server.conf

使用你喜欢的编辑器（如 nano 或 vim）编辑 /etc/openvpn/server.conf，关键配置如下：

port 1194proto udp# 使用 tun 设备dev tun# CA、证书、密钥路径cert /etc/openvpn/easy-rsa/pki/issued/server.crtkey /etc/openvpn/easy-rsa/pki/private/server.keydh /etc/openvpn/easy-rsa/pki/dh.pemca /etc/openvpn/easy-rsa/pki/ca.crt# 启用 TLS 认证tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0# 加密算法cipher AES-256-CBCauth SHA256# 客户端子网topology subnetserver 10.8.0.0 255.255.255.0# 推送 DNS 设置（可选）push "dhcp-option DNS 8.8.8.8"push "dhcp-option DNS 8.8.4.4"# 允许客户端之间通信client-to-client# 持久化连接keepalive 10 120# 用户权限user nobodygroup nobody# 日志status openvpn-status.logverb 3

五、启用 IP 转发和配置防火墙

为了让客户端能通过 VPN 访问外网，需开启 IP 转发：

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.confsudo sysctl -p

配置 firewalld（Rocky Linux 默认防火墙）：

sudo firewall-cmd --permanent --add-port=1194/udpsudo firewall-cmd --permanent --add-masqueradesudo firewall-cmd --reload

六、启动 OpenVPN 服务

sudo systemctl enable openvpn@serversudo systemctl start openvpn@serversudo systemctl status openvpn@server

如果状态显示 active (running)，说明服务已成功启动。

七、生成客户端配置文件

为每个用户生成客户端证书（例如 client1）：

cd /etc/openvpn/easy-rsasudo ./easyrsa build-client-full client1 nopass

创建客户端配置文件 client1.ovpn，内容如下：

clientdev tunproto udpremote YOUR_SERVER_PUBLIC_IP 1194resolv-retry infinitenobindpersist-keypersist-tunremote-cert-tls servercipher AES-256-CBCauth SHA256verb 3<ca>（粘贴 /etc/openvpn/easy-rsa/pki/ca.crt 内容）</ca><cert>（粘贴 /etc/openvpn/easy-rsa/pki/issued/client1.crt 内容）</cert><key>（粘贴 /etc/openvpn/easy-rsa/pki/private/client1.key 内容）</key><tls-auth>（粘贴 /etc/openvpn/easy-rsa/pki/ta.key 内容）</tls-auth>

将此 .ovpn 文件下载到客户端设备，使用 OpenVPN 客户端导入即可连接。

八、总结

通过以上步骤，你已经成功完成了 RockyLinux搭建VPN 的全过程。无论是用于远程办公、保护隐私，还是构建企业级网络架构，这套 企业级VPN配置 方案都具备高安全性和稳定性。如果你是初学者，建议先在测试环境中练习，熟悉后再部署到生产环境。

记住定期更新系统和 OpenVPN 软件，以确保 OpenVPN安装教程 中提到的安全措施始终有效。祝你搭建顺利！