Ubuntu16.0安装配置OpenVPN，客户端作为网关连接子网指南

在当今的分布式网络环境中，安全地连接不同地理位置的子网成为了一项重要需求。OpenVPN作为一种开源的、基于SSL/TLS协议的VPN解决方案，因其高度的灵活性和安全性而广受欢迎。本文将详细介绍如何在Ubuntu16.0系统上安装并配置OpenVPN，以及如何设置客户端作为网关来连接子网，为需要实现远程访问或子网互联的用户提供一套完整的解决方案。

一、安装准备

1.1 系统更新

在开始安装OpenVPN之前，首先确保Ubuntu16.0系统是最新的。打开终端，执行以下命令更新软件包列表并升级已安装的软件包：

sudo apt-get update
sudo apt-get upgrade

1.2 安装OpenVPN和Easy-RSA

OpenVPN的安装通常伴随着Easy-RSA，一个用于管理SSL证书的小型工具集。执行以下命令安装OpenVPN和Easy-RSA：

sudo apt-get install openvpn easy-rsa

二、配置OpenVPN服务端

2.1 创建证书颁发机构（CA）

首先，需要创建一个证书颁发机构来签发服务器和客户端的证书。进入Easy-RSA目录并初始化PKI（公钥基础设施）：

make-cadir ~/openvpn-ca
cd ~/openvpn-ca

编辑vars文件，设置CA的相关信息，如国家、省份、城市等。然后，初始化PKI并创建CA证书：

source vars
./clean-all
./build-ca

2.2 生成服务器证书和密钥

接下来，为OpenVPN服务器生成证书和密钥：

./build-key-server server

按照提示填写相关信息，大部分可以保持默认。

2.3 生成Diffie-Hellman参数

生成Diffie-Hellman参数，用于密钥交换：

./build-dh

2.4 配置OpenVPN服务端

将示例配置文件复制到/etc/openvpn目录，并根据需要进行修改：

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
sudo gzip -d /etc/openvpn/server.conf.gz
sudo nano /etc/openvpn/server.conf

在配置文件中，需要指定证书和密钥的路径，以及设置VPN子网等信息。例如：

ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0

2.5 启动OpenVPN服务

配置完成后，启动OpenVPN服务并设置开机自启：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

三、配置OpenVPN客户端

3.1 生成客户端证书和密钥

为每个客户端生成证书和密钥：

cd ~/openvpn-ca
source vars
./build-key client1

3.2 创建客户端配置文件

在客户端机器上，创建一个.ovpn配置文件，包含服务器地址、端口、协议、证书和密钥等信息。示例配置如下：

client
dev tun
proto udp
remote your_server_ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
<ca>
# 粘贴CA证书内容
</ca>
<cert>
# 粘贴客户端证书内容
</cert>
<key>
# 粘贴客户端密钥内容
</key>

3.3 客户端作为网关配置

若要让客户端作为网关连接子网，需在客户端配置中添加push指令，将路由信息推送给客户端。在服务端配置文件中添加如下行：

push "route 192.168.x.0 255.255.255.0"

其中，192.168.x.0是子网的IP地址，255.255.255.0是子网掩码。

同时，在客户端上，需要启用IP转发并配置防火墙规则，允许转发来自VPN子网的数据包。编辑/etc/sysctl.conf文件，取消注释或添加以下行：

net.ipv4.ip_forward=1

然后应用更改：

sudo sysctl -p

接下来，配置iptables规则。假设客户端的以太网接口为eth0，VPN接口为tun0，添加如下规则：

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

为了使这些规则在系统重启后仍然有效，可以安装iptables-persistent并保存规则：

sudo apt-get install iptables-persistent
sudo netfilter-persistent save

四、测试与验证

4.1 连接VPN

在客户端上，使用OpenVPN客户端软件导入.ovpn配置文件，并尝试连接到服务器。

4.2 验证子网访问

连接成功后，在客户端上尝试ping子网内的其他设备，验证是否能够成功通信。

4.3 检查日志

检查OpenVPN服务端和客户端的日志文件，确保没有错误信息，并确认VPN连接状态正常。

五、总结与优化

通过上述步骤，我们成功在Ubuntu16.0系统上安装并配置了OpenVPN，并实现了客户端作为网关连接子网的功能。在实际应用中，可能需要根据具体需求调整配置，如优化加密算法、调整MTU值以提高性能等。此外，为了确保安全性，应定期更新证书和密钥，以及监控VPN连接状态。

OpenVPN的灵活性和强大功能使其成为远程访问和子网互联的理想选择。通过本文的介绍，希望能够帮助读者更好地理解和应用OpenVPN，为构建安全、高效的网络环境提供有力支持。