在users文件中添加示例用户

企业级VPN认证服务器搭建指南：从零开始构建安全远程访问通道

在当今数字化办公日益普及的背景下,越来越多的企业需要为员工提供安全、稳定的远程访问能力，虚拟私人网络（VPN）作为实现这一目标的核心技术之一，其安全性与可靠性直接关系到企业数据资产的保护，认证服务器是整个VPN体系的“门卫”，负责验证用户身份、授权访问权限，是保障网络安全的第一道防线，本文将详细介绍如何搭建一个基于OpenVPN + FreeRADIUS的认证服务器，适用于中小型企业部署，具备高安全性、可扩展性和易维护性。

前期准备与环境规划
你需要一台运行Linux系统的服务器（推荐Ubuntu 20.04或CentOS 7以上版本），并确保其拥有公网IP地址（若使用云服务商如阿里云、AWS，需配置安全组规则开放UDP 1194端口），建议使用静态IP以避免配置混乱，操作系统安装完成后，更新系统包并安装基础依赖：

sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa freeradius freeradius-mysql -y

生成证书与密钥（使用Easy-RSA）
OpenVPN依赖SSL/TLS加密通信，因此必须先生成CA证书、服务器证书和客户端证书，通过Easy-RSA工具完成这一过程：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

这些命令将创建用于服务器和客户端的身份凭证,确保通信双方可信。

配置FreeRADIUS认证服务
FreeRADIUS是一个开源的RADIUS服务器，支持多种认证方式（如PAP、CHAP、MSCHAPv2），适合集成到企业AD域或自建用户数据库中，编辑 /etc/freeradius/3.0/sites-available/default 文件，启用认证模块，并添加本地用户：

重启服务并测试：

sudo systemctl restart freeradius
radtest client1 password123 localhost 0 testing123

配置OpenVPN服务
编辑主配置文件 /etc/openvpn/server.conf，关键参数如下：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
auth-user-pass-verify /etc/openvpn/checkpw.sh via-env
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

注意：auth-user-pass-verify 指向一个脚本，该脚本调用FreeRADIUS进行身份验证（可通过freeradius -X调试日志查看认证过程）。

防火墙与启动服务
确保iptables或firewalld允许UDP 1194端口转发，并启用IP转发功能：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

最后启动OpenVPN服务并设置开机自启：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

客户端配置与测试
客户端需安装OpenVPN GUI（Windows）或TUN/TAP驱动（Linux/macOS），导入服务器证书、密钥及CA证书，连接时输入用户名和密码，即可建立加密隧道。

通过上述步骤，你已成功搭建一个基于OpenVPN + FreeRADIUS的企业级认证服务器，此方案不仅满足基本远程接入需求，还具备良好的扩展性——例如接入LDAP目录服务、支持双因素认证（MFA）、日志审计等功能，对于IT管理员而言，这是一套稳定、可控且成本低廉的安全解决方案，值得在各类组织中推广部署。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速