在你的 Linux PC 上设置 VPN 服务器

您是否曾连接到不受信任的网络，例如酒店或咖啡馆的 WiFi，并且需要从您的智能手机或笔记本电脑安全地浏览互联网？通过使用虚拟专用网络 (VPN)，您可以匿名且安全地访问该不受信任的网络，就像您在专用网络上一样。

VPN 是保护私人数据的绝佳工具。通过使用 VPN，您可以在互联网上连接到专用网络，同时保持匿名性。

有许多 VPN 服务可用，许多人发现，在使用不受信任的网络时，保护私人数据的首选方案是 OpenVPN。

OpenVPN 在两点之间创建加密隧道，防止第三方访问您的网络流量数据。通过设置您自己的 VPN 服务器，您将成为您自己的 VPN 提供商。许多流行的 VPN 服务都使用 OpenVPN，那么当您可以完全自己控制时，为什么要将您的连接绑定到特定的提供商呢？

设置 Linux 服务器

首先，在备用 PC 上安装 Linux 副本。这些示例使用 Fedora，但无论您使用哪个 Linux 发行版，步骤都大致相同。

从 Fedora 项目 网站下载最新 Fedora ISO 副本。制作一个可启动的 USB 驱动器，将其插入并启动您的 PC，然后安装操作系统。如果您从未制作过可启动的 USB 驱动器，请阅读关于 Fedora Media Writer 的文章。如果您从未安装过 Linux，请阅读关于 分三步安装 Linux 的文章。

设置网络

安装 Fedora 操作系统后，登录到控制台或 SSH 会话。

应用最新的更新并重启

$ sudo dnf update -y && reboot

再次登录并禁用防火墙规则

systemctl disable firewalld.service
systemctl stop firewalld.service

您可能希望在此系统上为您的内部网络添加适当的防火墙规则。如果是这样，请在关闭所有防火墙规则的情况下完成 OpenVPN 的设置和调试，然后添加您的本地防火墙规则。有关更多信息，请阅读关于 在 Linux 上设置防火墙 的文章。

设置 IP 地址

您需要在本地网络中使用静态 IP 地址。以下命令假设在名为 ens3 的设备上有一个名为 ens3 的 Network Manager 连接。您的设备和连接名称可能不同，因此请打开 SSH 会话或控制台并输入以下命令来查找它们：

$ sudo nmcli connection show
NAME  UUID                                  TYPE      DEVICE
ens3  39ad55bd-adde-384a-bb09-7f8e83380875  ethernet  ens3

您需要确保远程人员可以找到您的 VPN 服务器。有两种方法可以做到这一点。您可以手动设置其 IP 地址，也可以让您的路由器完成大部分工作。

手动配置 IP 地址

使用以下命令设置您的静态 IP 地址、前缀、网关和 DNS 解析器，但请替换为您自己的 IP 地址

$ sudo nmcli connection modify ens3 ipv4.addresses 10.10.10.97/24
$ sudo nmcli connection modify ens3 ipv4.gateway 10.10.10.1
$ sudo nmcli connection modify ens3 ipv4.dns 10.10.10.10
$ sudo nmcli connection modify ens3 ipv4.method manual
$ sudo nmcli connection modify ens3 connection.autoconnect yes

设置主机名

$ sudo hostnamectl set-hostname OVPNserver2020

如果您运行本地 DNS 服务器，您将需要设置一个 DNS 条目，将主机名指向 VPN 服务器 IP 地址。

重启并确保系统具有正确的网络信息。

在路由器中配置 IP 地址

您的网络中可能有一个路由器。您可能是购买的，也可能是从您的互联网服务提供商 (ISP) 那里获得的。无论哪种方式，您的路由器可能都有一个内置的 DHCP 服务器，该服务器为网络上的每个设备分配一个 IP 地址。您的新服务器算作网络上的设备，因此您可能已经注意到已自动为其分配了 IP 地址。

这里潜在的问题是您的路由器不保证任何设备在重新连接后都会获得相同的 IP 地址。它确实尝试保持 IP 地址一致，但它们可能会根据当时连接的设备数量而更改。

但是，几乎所有路由器都有一个接口，允许您介入并为特定设备保留 IP 地址。

图片来源：

^{(Seth Kenlon, CC BY-SA 4.0)}

路由器没有通用界面，因此请搜索您拥有的路由器的界面，查找 DHCP 或 静态 IP 地址 选项。为您的服务器分配其自己的保留 IP 地址，以便其网络位置保持不变，无论发生什么情况。

访问您的服务器

默认情况下，您的路由器可能内置了防火墙。这通常是好事，因为您不希望网络外部的人员能够暴力破解进入您的任何计算机。但是，您必须允许 направленность 于您的 VPN 服务器的流量通过您的防火墙，否则您的 VPN 将无法访问，因此对您毫无用处。

您将需要至少一个来自您的互联网服务提供商的公共静态 IP 地址。使用其静态 IP 地址设置路由器的公共侧，然后将您的 OpenVPN 服务器放在私有侧，并在您的网络中使用其自己的私有静态 IP 地址。OpenVPN 默认使用 UDP 端口 1194。配置您的路由器以 端口转发 公共 VPN IP 地址在 UDP 端口 1194 上的流量到您的 OpenVPN 服务器上的 UDP 端口 1194。如果您决定使用不同的 UDP 端口，请相应地调整端口号。

为下一步做好准备

在本文中，您在服务器上安装并配置了操作系统，这大约完成了一半的工作。在下一篇文章中，您将着手安装和配置 OpenVPN 本身。同时，熟悉您的路由器并确保您可以从外部世界访问您的服务器。但请务必在测试后关闭端口转发，直到您的 VPN 启动并运行。

本文的部分内容改编自 D. Greg Scott 的 博客，并已获得许可重新发布。