使用 OpenVPN 和 L2TP 搭建 VPN 服务——从零开始到稳定运行

引言

随着网络安全问题的日益突出，越来越多的人开始关注 VPN（虚拟专用网络）的使用。VPN 可以帮助用户在公共网络上建立加密的连接，从而保护用户的隐私和数据安全。本文将详细介绍如何使用 OpenVPN 和 L2TP 协议搭建一个稳定的 VPN 服务，让用户能够自由、安全地上网。

服务器准备

在开始搭建 VPN 服务之前，首先需要准备一台服务器。这台服务器可以是物理服务器，也可以是虚拟机。服务器需要满足以下要求：

硬件要求

• 处理器：至少 2 核 CPU
• 内存：至少 2GB RAM
• 存储：至少 20GB 可用空间
• 网络：静态公网 IP 地址，支持 SSH 远程登录

操作系统

推荐使用以下操作系统：

• Debian 10
• Ubuntu 20.04
• CentOS 7

安装 OpenVPN 和 L2TP

安装 OpenVPN

OpenVPN 是一个广受欢迎的 VPN 客户端和服务器软件，支持多种操作系统。以下是安装 OpenVPN 的步骤：

更新系统包

sudo apt update
sudo apt upgrade

安装 OpenVPN 和 Easy-RSA

sudo apt install openvpn easy-rsa

配置 Easy-RSA

1. 创建 Easy-RSA 目录

   make-cadir ~/openvpn-ca
   cd ~/openvpn-ca

2. 编辑 vars 文件

   nano vars

   在文件中设置以下变量：

   export KEY_COUNTRY="US"
   export KEY_PROVINCE="CA"
   export KEY_CITY="SanFrancisco"
   export KEY_ORG="SelfSigned"
   export KEY_EMAIL="youremail@example.com"
   export KEY_OU="MyOrgUnit"
   export KEY_NAME="OpenVPNCA"

3. 生成密钥和证书

   source vars
   ./clean-all
   ./build-ca

安装 L2TP

L2TP（Layer 2 Tunneling Protocol）是一种通过 IP 报文封装数据链路层协议的隧道协议。以下是安装 L2TP 的步骤：

安装必要的包

sudo apt install iproute2 pptpd

配置 PPTPD

1. 编辑 PPTPD 配置文件

   sudo nano /etc/pptpd.conf

   修改以下内容：

   localip 192.168.0.1
   remoteip 192.168.0.100-200

2. 创建用户

   sudo useradd -M pptpd
   sudo chpasswd -e <username>

3. 创建 IP 地址池

   sudo nano /etc/ppp/chap-secrets

   添加以下内容：

   <username> <password> * <password>

4. 重启 PPTPD 服务

   sudo systemctl restart pptpd

配置 OpenVPN 与 L2TP 的集成

为了实现 OpenVPN 和 L2TP 的集成，我们需要创建 OpenVPN 配置文件，并将其与 L2TP 结合使用。

创建 OpenVPN 配置文件

1. 创建 OpenVPN 图形目录

   mkdir /etc/openvpn/easy-rsa
   cp -r /usr/share/openvpn/easy-rsa/2.0/* /etc/openvpn/easy-rsa
   chown -R root:root /etc/openvpn/easy-rsa
   chmod -R 700 /etc/openvpn/easy-rsa
   chmod 600 /etc/openvpn/easy-rsa/pki/srl
   cd /etc/openvpn/easy-rsa

2. 初始化易生成密钥脚本

   source ./vars
   ./clean-all
   ./build-ca
   ./build-key-server server

3. 生成客户端密钥

   ./build-key client

4. 生成 Diffie-Hellman 参数

   ./build-dh

5. 创建 OpenVPN 配置文件

   cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/server.conf.gz
   sudo gzip -d /etc/openvpn/server.conf.gz
   sudo nano /etc/openvpn/server.conf

   修改以下内容：

   port 1194
   proto udp
   dev tun0
   ca /etc/openvpn/easy-rsa/pki/ca.crt
   cert /etc/openvpn/easy-rsa/pki/issued/server.crt
   key /etc/openvpn/easy-rsa/pki/private/server.key
   dh /etc/openvpn/easy-rsa/pki/dh.pem
   server 10.8.0.0 255.255.255.0
   ifconfig-pool-persist /etc/openvpn/ipp.txt
   push "redirect-gateway def1 bypass-dns"
   nobind
   persist-key
   persist-tun
   status /etc/openvpn/openvpn-status.log
   ; verb 3

6. 生成客户端配置文件

   && cd ~ && unzip -o openvpn-client-registration.zip && cd openvpn-install
   ./serverkins.sh

启动 OpenVPN 和 L2TP 服务

1. 启动 OpenVPN 服务

   sudo systemctl start openvpn@server

2. 开启 IP 转发

   sudo nano /etc/sysctl.conf

   在文件末尾添加：

   net.ipv4.ip_forward=1

   应用配置：

   sudo sysctl -p

3. 设置 NAT

   sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
   sudo iptables-save > /etc/iptables规则文件

4. 重启网络服务

   sudo systemctl restart networking

客户端连接

下载并安装 OpenVPN 客户端

1. 访问 OpenVPN 官网 下载并安装适合你操作系统的 OpenVPN 客户端。

连接 VPN

1. 使用服务器生成的客户端配置文件（.ovpn 文件）连接 VPN。

2. 打开 OpenVPN 客户端，导入 .ovpn 文件，并点击“连接”按钮。

安全与优化

证书更新

为了确保 VPN 连接的安全性，建议定期更新证书。以下是更新证书的步骤：

cd ~/openvpn-ca
source vars
./renew-ca
("./build-key-server server"和"./build-key client"也可以分别更新服务器和客户端证书)

硬件加速

为了提高 VPN 服务的性能，可以考虑使用硬件加速。例如，使用 NVIDIA GPU 进行加密加速。

总结

通过以上步骤，您可以使用 OpenVPN 和 L2TP 成功搭建一个稳定的 VPN 服务。这个过程涉及多个步骤和配置，但只要按照步骤进行，您就会成功搭建一个安全、高效的 VPN 服务。记住，定期更新证书和使用硬件加速可以有效提高 VPN 服务的性能和安全性。