Debian OpenVPN安装与配置完整指南（手把手教你搭建安全的OpenVPN服务器）

一、准备工作

在开始 OpenVPN配置教程 之前，请确保你具备以下条件：

• 一台运行 Debian 10/11/12 的服务器（可以是云服务器或本地虚拟机）
• 具有 sudo 权限的非 root 用户
• 服务器拥有公网 IP 地址（用于远程连接）
• 防火墙已开放 UDP 1194 端口（OpenVPN 默认端口）

二、更新系统并安装 OpenVPN 和 Easy-RSA

首先，登录你的 Debian 服务器，执行系统更新：

sudo apt updatesudo apt upgrade -y

然后安装 OpenVPN 和 Easy-RSA（用于生成证书和密钥）：

sudo apt install openvpn easy-rsa -y

三、配置 PKI（公钥基础设施）

我们将使用 Easy-RSA 创建 CA（证书颁发机构）和服务器/客户端证书。

# 创建 PKI 目录make-cadir ~/openvpn-cacd ~/openvpn-ca# 编辑 vars 文件（可选，用于预设信息）nano vars

在 vars 文件末尾添加或修改以下变量（按需调整）：

export KEY_COUNTRY="CN"export KEY_PROVINCE="Beijing"export KEY_CITY="Beijing"export KEY_ORG="MyCompany"export KEY_EMAIL="admin@example.com"export KEY_OU="MyOrganizationalUnit"export KEY_NAME="server"

保存并退出后，加载变量并初始化 PKI：

source ./vars./clean-all./build-ca

按提示操作（直接回车使用默认值即可），CA 就创建好了。

四、生成服务器证书和密钥

./build-key-server server

同样一路回车，在最后两个问题（Sign 和 Commit）输入 y 并回车。

五、生成 Diffie-Hellman 参数和 TLS 认证密钥

./build-dhopenvpn --genkey --secret keys/ta.key

这可能需要几分钟时间，请耐心等待。

六、配置 OpenVPN 服务

复制证书和密钥到 OpenVPN 配置目录：

sudo cp ~/openvpn-ca/keys/{server.crt,server.key,ca.crt,dh2048.pem,ta.key} /etc/openvpn/server/

接下来，编辑主配置文件：

sudo nano /etc/openvpn/server/server.conf

粘贴以下基础配置（适用于大多数场景）：

port 1194proto udpdev tunca ca.crtcert server.crtkey server.keydh dh2048.pemtopology subnetserver 10.8.0.0 255.255.255.0ifconfig-pool-persist ipp.txtpush "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 8.8.8.8"push "dhcp-option DNS 8.8.4.4"keepalive 10 120tls-auth ta.key 0cipher AES-256-CBCauth SHA256user nobodygroup nogrouppersist-keypersist-tunstatus openvpn-status.logverb 3explicit-exit-notify 1

七、启用 IP 转发和配置防火墙

为了让客户端通过服务器访问互联网，需要开启 IP 转发：

sudo sysctl -w net.ipv4.ip_forward=1# 永久生效echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf

配置 iptables 规则（假设你的公网网卡是 eth0）：

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE# 保存规则（Debian 11/12 可能需要安装 iptables-persistent）sudo apt install iptables-persistent -y

八、启动 OpenVPN 服务

sudo systemctl enable openvpn-server@serversudo systemctl start openvpn-server@serversudo systemctl status openvpn-server@server

如果状态显示 active (running)，说明服务已成功启动。

九、生成客户端配置文件

为客户端生成证书（例如 client1）：

cd ~/openvpn-casource ./vars./build-key client1

然后你可以使用脚本或手动方式将 ca.crt、client1.crt、client1.key 和 ta.key 打包，并配合客户端配置文件使用。完整的客户端 .ovpn 文件可参考官方文档构建。

十、总结

通过以上步骤，你已经成功完成了 Debian搭建VPN 的全过程。现在你可以使用 OpenVPN 客户端连接到你的服务器，享受加密、安全的网络通道。本 OpenVPN服务器设置 教程适用于个人隐私保护、远程办公或绕过地域限制等场景。

如果你在配置过程中遇到问题，建议查看日志文件 /var/log/openvpn.log 或使用 journalctl -u openvpn-server@server 命令排查错误。

祝你搭建顺利！