一、准备工作：明确需求与搭建基础

在搭建VPN隧道之前，首先要明确自己的需求。是需要远程访问公司内部网络，还是实现站点到站点的网络连接？不同的需求决定了选择的VPN类型（如远程访问VPN或站点到站点VPN）和协议（如IPsec、SSL/TLS、WireGuard等）。例如，对于企业远程办公场景，IPsec/L2TP协议因其较高的安全性和稳定性而被广泛采用；而OpenVPN则以其良好的兼容性和灵活性受到青睐。

确定好需求后，要确保网络环境具备搭建VPN的基础条件。两端设备需要有公网IP或可路由的网络连接，这样才能保证VPN隧道的正常建立。此外，还需要在服务器和客户端安装对应的VPN服务软件。以IPsec/L2TP为例，可以选择StrongSwan作为服务器端软件；对于OpenVPN，则有VPNOpen Access Server等可供选择。

二、配置服务器端：搭建VPN的核心环节

配置服务器端是搭建VPN隧道的关键步骤，不同的协议和工具配置方式有所不同。下面以IPsec/L2TP（使用StrongSwan）和OpenVPN为例，详细介绍配置过程。

（一）IPsec/L2TP配置（以StrongSwan为例）

1.安装StrongSwan

在服务器上安装StrongSwan及其相关插件，这是搭建IPsec/L2TP VPN的基础。使用以下命令进行安装：

sudo apt install strongswan libcharon-extra-plugins

2.配置IPsec 参数

编辑/etc/ipsec.conf文件，定义连接参数，包括预共享密钥、子网等关键信息。以下是一个示例配置：

config setupcharondebug="ike 2, knl 2, cfg 2"conn %defaultikelifetime=60mkeylife=20mrekeymargin=3mkeyingtries=1conn myvpnleft=%defaultrouteleftid=@server.example.comleftsubnet=0.0.0.0/0right=%anyrightdns=8.8.8.8rightsourceip=192.168.10.0/24auto=addkeyexchange=ikev1authby=secretike=aes256-sha1-modp1024!esp=aes256-sha1-modp1024!

这段配置中，left代表服务器端，right代表客户端，leftsubnet定义了服务器端可访问的网络范围，rightsourceip为客户端分配的IP地址范围等。

3.设置预共享密钥

编辑/etc/ipsec.secrets文件，设置预共享密钥，用于IPsec隧道的认证。格式如下：

: PSK "your-pre-shared-key"

请确保共享预密钥足够复杂，以保证安全性。

4.启用转发和NAT 规则

为了让客户端通过VPN隧道访问服务器内网资源，需要启用IP转发，并设置相应的NAT规则。执行以下命令：

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.confsudo sysctl -psudo iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

这里将客户端分配的IP地址范围（192.168.10.0/24）的流量通过服务器的外网接口（eth0）进行NAT转发。

5.启动服务

完成配置后，启动StrongSwan服务，使IPsec/L2TP VPN生效：

sudo ipsec start

（二）OpenVPN配置

1.生成证书和密钥

使用Easy-RSA工具生成CA证书、服务器和客户端证书。这些证书用于OpenVPN的加密和认证，确保连接的安全性。证书生成过程涉及一系列命令操作，具体可参考Easy-RSA的官方文档或相关教程。

2.配置服务器文件

编辑/etc/openvpn/server.conf文件，指定端口、协议（UDP/TCP）、加密方式、推送路由等参数。例如：

port 1194proto udpdev tunca ca.crtcert server.crtkey server.keydh dh.pemserver 10.8.0.0 255.255.255.0ifconfig-pool-persist ipp.txtpush "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 8.8.8.8"" pushdhcp-option DNS 8.8.4.4"keepalive 10 120cipher AES-256-CBCauth SHA256comp-lzouser nobodygroup nogrouppersist-keypersist-tunstatus openvpn-status.logverb 3

这段配置中，定义了OpenVPN服务器的端口、协议、设备类型、证书文件路径、服务器端分配给客户端的IP地址范围、推送的路由和DNS设置等。

3.启动服务

配置完成后，启动OpenVPN服务：

sudo systemctl start openvpn@server

三、配置客户端：连接到VPN的关键一环

完成服务器端配置后，接下来需要在客户端进行相应配置，以便连接到VPN服务器。

（一）IPsec/L2TP客户端配置

• Windows客户端

1. 打开“设置” > “网络和Internet” > “VPN” > “添加VPN连接”。

2. 在弹出的窗口中，填写服务器地址、预共享密钥，选择L2TP/IPsec协议。

3. 点击“连接”，输入用户名和密码（如果服务器端配置了用户认证），即可完成连接并验证。

• Linux客户端（使用nmcli）

使用以下命令在Linux系统上添加并配置IPsec/L2TP VPN连接：

nmcli connection add type vpn vpn-type l2tp name MyVPN \con-name MyVPN \vpn.data.gateway <server-ip> \vpn.data.user <username> \vpn.data.password <password>

替换<server-ip>、<username>和<password>为实际的服务器IP地址、用户名和密码，然后使用nmcli命令激活该连接。

（二）OpenVPN客户端配置

1. 将服务器端生成的客户端配置文件（.ovpn）导入到OpenVPN客户端。在Windows系统上，可以使用OpenVPN GUI软件；在手机上则有相应的OpenVPN客户端App。

2. 连接时，根据服务器端的配置，可能需要输入用户名和密码（如果使用了TLS认证）。点击“连接”按钮，等待客户端与服务器建立连接。

四、验证隧道：确保连接安全稳定

完成客户端配置并成功连接后，需要对VPN隧道进行验证，确保其正常工作且安全可靠。

1.检查连接状态

• 对于IPsec VPN，可以在服务器端执行以下命令查看连接状态：

sudo ipsec status

• 对于OpenVPN，可以查看服务状态：

sudo systemctl status openvpn@server

2.测试网络

• 在客户端，尝试ping服务器内网的IP地址，看是否能够正常通信。如果可以，说明VPN隧道已经成功建立，客户端能够访问服务器内网资源。

• 可以通过nslookup命令测试DNS解析是否通过VPN进行。例如：

nslookup example.com

查看返回的DNS解析结果是否符合预期。

五、常见问题排查：解决搭建过程中的难题

在搭建VPN隧道的过程中，可能会遇到各种问题，以下是一些常见问题的排查方法：

1.防火墙/NAT问题

确保服务器的防火墙允许UDP 500/4500（IPsec）或1194（OpenVPN默认端口）等VPN相关端口的流量通过。检查服务器和客户端所在网络的NAT设置，确保不会对VPN连接造成阻碍。

2.证书错误

如果使用证书认证的VPN（如OpenVPN），要检查客户端和服务器端的证书是否正确安装，证书链是否完整，以及证书的有效期是否过期。同时，确保客户端和服务器。

相关文章浏览：

​利用CCProxy+Proxifier/Postern创建基于Socks5代理的VPN，简单实现外网电脑和手机安全访问局域网内服务器的网站和远程桌面等服务[3323]
　 http://29855.oa22.cn