阿里云 ECS 搭建 OpenVPN 详细操作步骤

想用阿里云 ECS 搭个 OpenVPN，是不是一看教程就头大？各种命令行、配置文件，新手看着就发怵。其实啊，只要跟着步骤一步步来，没那么难。小编前阵子刚帮朋友搭过，从零基础开始，也就花了俩小时。今天就把详细步骤拆解给你，连容易出错的地方都标出来了，保准你看完就会。

搭之前，这些东西得准备好，缺一不可

你猜怎么着？好多人第一步就卡壳，不是少了这个就是忘了那个。咱们先把 “弹药” 备齐：

• 一台阿里云 ECS 服务器：系统推荐 CentOS 7 或 8，新手别选太新的版本，兼容性可能有问题。服务器配置不用太高，1 核 2G 就够用，毕竟 VPN 主要吃带宽不是算力。
• 服务器公网 IP：这个在阿里云控制台 “ECS 实例” 里能找到，像 “47.xxx.xxx.xxx” 这样的，记下来，后面要用。
• 安全组开放端口：OpenVPN 默认用 1194 端口（UDP 协议），必须在安全组里放行。怎么操作？登录阿里云，找到你的服务器，点 “安全组配置”，手动加条规则，端口填 1194，协议选 UDP，授权对象填 0.0.0.0/0 就行。这步要是忘了，后面累死也连不上，真的。
• 远程连接工具：比如 Xshell 或者 Putty，用来登录服务器输命令。官网下个免费版，安装时一路点 “下一步”，别瞎改设置。

开始安装！命令照着输，别手抖

登录服务器后，就进入命令行界面了。别慌，小编把要输的命令都列出来了，复制粘贴就行，注意别漏了空格。

第一步：更新系统，装必要的工具

先输这条命令更新一下系统：yum update -y。等它跑完，再装 OpenVPN 和证书生成工具：yum install -y openvpn easy-rsa。要是提示 “找不到包”，可能是 yum 源的问题，输yum install epel-release先装个扩展源，再重试就行。

第二步：生成证书和密钥，这步有点绕但别怕

证书这东西，就像一把钥匙，服务器和客户端都得有才能通信。

• 先把证书模板复制到 OpenVPN 目录：cp -r /usr/share/easy-rsa/3/ /etc/openvpn/
• 进入目录：cd /etc/openvpn/3/
• 初始化 PKI：./easyrsa init-pki，输完会提示 “成功”
• 生成根证书：./easyrsa build-ca nopass，这里直接回车，不用设密码，省得后面麻烦
• 生成服务器证书：./easyrsa build-server-full server nopass，同样直接回车
• 生成客户端证书：./easyrsa build-client-full client nopass，客户端名字叫 “client”，你也可以改成自己的，记着就行
• 生成 Diffie-Hellman：./easyrsa gen-dh，这步要等一会儿，别急

生成完的证书都在/etc/openvpn/3/pki/目录下，后面配置会用到，记不住路径可以先记在小本本上。

第三步：配置服务器端，关键在这一步

咱们得建个服务器配置文件，就叫server.conf吧。输vi /etc/openvpn/server.conf，按 i 进入编辑模式，把下面这些内容粘进去：
port 1194
proto udp
dev tun
ca /etc/openvpn/3/pki/ca.crt
cert /etc/openvpn/3/pki/issued/server.crt
key /etc/openvpn/3/pki/private/server.key
dh /etc/openvpn/3/pki/dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push “route 192.168.1.0 255.255.255.0”
push “dhcp-option DNS 8.8.8.8”
push “dhcp-option DNS 8.8.4.4”
keepalive 10 120
comp-lzo no
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log-append openvpn.log
verb 3
粘完按 Esc，输:wq保存退出。这里面的 DNS 地址用的是谷歌的，你也可以换成国内的，比如 114.114.114.114，看你自己需求。

第四步：启动服务，设成开机自启

输systemctl start openvpn@server启动服务，再输systemctl enable openvpn@server设成开机自启，这样服务器重启后 VPN 也能自己跑起来。想看看启动没成功？输systemctl status openvpn@server，出现 “active (running)” 就没问题。

客户端怎么连？手机电脑都能上

服务器搭好了，客户端也得配置一下。咱们以 Windows 为例，手机步骤差不多：

• 先把这三个文件从服务器下到本地：ca.crt、client.crt、client.key，可以用 Xftp 传，跟 Xshell 配套的，很好用。
• 下载 OpenVPN 客户端，官网搜 “OpenVPN Connect”，装完打开，点 “Import File”，选一个刚才下的文件，或者自己建个.ovpn配置文件，把证书内容嵌进去。
• 配置文件里的remote后面填你的服务器公网 IP，端口 1194，保存后点连接，显示 “Connected” 就成了。

小编第一次传文件的时候，不小心把证书格式弄乱了，连不上，后来重新传了一遍才好，所以传文件的时候别用记事本瞎改，直接传原文件。

最后说几句掏心窝子的话

搭这个东西，步骤看着多，但其实就是 “准备→安装→配置→连接” 这四步。最容易出错的地方是安全组没开端口，或者证书路径填错了，遇到问题先检查这两处，多半能解决。还有啊，阿里云服务器要备案，别用它干违规的事，合规使用才安心。
小编觉得，只要你敢动手，跟着步骤来，肯定能成功。第一次慢点没关系，多试两次就熟了。希望这篇教程能帮到你，有啥问题评论区问我也行，看到就回。