Ubuntu16.0下OpenVPN安装与客户端网关配置指南

在当今的网络环境中，构建一个安全、稳定的虚拟专用网络（VPN）是许多企业和开发者的需求。特别是在需要远程访问内网资源或连接多个子网时，OpenVPN以其强大的加密能力和灵活性成为首选方案。本文将详细介绍如何在Ubuntu 16.04系统上安装和配置OpenVPN服务，并实现客户端作为网关连接子网的功能。

一、环境准备

在开始之前，确保你的Ubuntu 16.04系统已经更新到最新状态，并具备基本的网络配置知识。此外，你需要一台具备公网IP的服务器作为OpenVPN服务器端，以及若干客户端设备。

二、安装OpenVPN

1. 更新系统

首先，通过以下命令更新系统软件包：

sudo apt-get update
sudo apt-get upgrade

2. 安装OpenVPN和Easy-RSA

OpenVPN依赖于Easy-RSA来生成SSL证书。使用以下命令安装它们：

sudo apt-get install openvpn easy-rsa

3. 配置Easy-RSA

将Easy-RSA的示例配置文件复制到/etc/openvpn/easy-rsa/目录下（如果目录不存在，先创建它）：

mkdir -p /etc/openvpn/easy-rsa/
cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
cd /etc/openvpn/easy-rsa/

编辑vars文件，设置证书相关的变量，如国家、省份、城市等：

nano vars

在文件中找到并修改以下行：

set_var EASYRSA_REQ_COUNTRY    "US"
set_var EASYRSA_REQ_PROVINCE   "California"
set_var EASYRSA_REQ_CITY       "San Francisco"
set_var EASYRSA_REQ_ORG        "My Company"
set_var EASYRSA_REQ_EMAIL      "admin@mycompany.com"
set_var EASYRSA_REQ_OU         "IT Department"

根据你的实际情况修改这些值。

4. 初始化PKI并生成证书

./easyrsa init-pki
./easyrsa build-ca  # 生成CA证书，按提示输入信息
./easyrsa gen-req server nopass  # 生成服务器证书请求
./easyrsa sign-req server server  # 签名服务器证书
./easyrsa gen-dh  # 生成Diffie-Hellman参数
openvpn --genkey secret /etc/openvpn/easy-rsa/ta.key  # 生成TLS认证密钥

三、配置OpenVPN服务器

1. 创建服务器配置文件

在/etc/openvpn/目录下创建server.conf文件：

nano /etc/openvpn/server.conf

添加以下内容（根据你的网络环境调整）：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"  # 推送默认网关
push "dhcp-option DNS 8.8.8.8"  # 推送DNS服务器
push "route 192.168.1.0 255.255.255.0"  # 推送子网路由（根据实际情况修改）
client-to-client
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/ta.key 0
cipher AES-256-CBC
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 1

2. 启动OpenVPN服务

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

四、配置客户端

1. 生成客户端证书

cd /etc/openvpn/easy-rsa/
./easyrsa gen-req client1 nopass  # 生成客户端证书请求
./easyrsa sign-req client client1  # 签名客户端证书

2. 创建客户端配置文件

在客户端设备上创建client.ovpn文件，内容如下（根据你的服务器配置调整）：

client
dev tun
proto udp
remote <服务器公网IP> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
<ca>
# 粘贴CA证书内容
</ca>
<cert>
# 粘贴客户端证书内容
</cert>
<key>
# 粘贴客户端私钥内容
</key>
<tls-auth>
# 粘贴TLS认证密钥内容
</tls-auth>
key-direction 1

3. 客户端作为网关连接子网

要使客户端作为网关连接子网，你需要在客户端上配置路由规则，将特定子网的流量通过VPN隧道转发。这通常可以通过修改客户端的路由表或使用OpenVPN的--route选项（在服务器端配置）结合客户端的--redirect-gateway选项来实现。

方法一：服务器端推送路由

如前面server.conf中的push "route 192.168.1.0 255.255.255.0"所示，服务器可以推送路由规则给客户端。

方法二：客户端手动配置路由

在客户端设备上，你可以使用route add命令（Windows）或ip route add命令（Linux）来添加路由规则。例如，在Linux客户端上：

sudo ip route add 192.168.1.0/24 via <VPN分配的客户端IP> dev tun0

或者，更永久地，你可以在客户端的OpenVPN配置文件中添加up和down脚本，自动添加和删除路由。

五、测试与验证

1. 连接测试：在客户端上使用OpenVPN客户端软件连接服务器，验证连接是否成功。
2. 路由验证：在客户端上执行ip route（Linux）或route print（Windows）命令，查看路由表是否包含通过VPN的路由。
3. 子网访问测试：尝试从客户端访问服务器端的子网资源，如访问子网内的Web服务器或SSH到子网内的另一台设备。

六、安全与优化建议

1. 定期更新：保持OpenVPN和系统软件的更新，以修复已知的安全漏洞。
2. 强加密：使用强加密算法（如AES-256-CBC）和长密钥长度。
3. 访问控制：通过防火墙规则限制VPN端口的访问，仅允许授权的IP地址连接。
4. 日志监控：定期检查OpenVPN的日志文件，监控异常连接或活动。
5. 多因素认证：考虑使用多因素认证（如证书+用户名/密码）增强安全性。

通过以上步骤，你可以在Ubuntu 16.04系统上成功安装和配置OpenVPN服务，并实现客户端作为网关连接子网的功能。这不仅为远程访问提供了安全的通道，还使得跨子网的资源访问变得简单而高效。