如何在 Windows Server 上使用 OpenVPN 创建 VPN

---

需要一种安全、加密的方式来访问您的互联网？为什么不在 Window Server 上转向 OpenVPN？设置您的第一个 VPN 可能会很痛苦，但您来对地方了！

在本教程中，您将学习如何设置免费 VPN 并阻止恶意实体进入您的 Windows Server。

准备好保护您的网络了吗？好吧，直接潜入吧！

先决条件

本教程将是一个实践演示。如果您想继续操作，请确保您具备以下条件：

• Windows Server - 本教程使用 Window Server 2019 R2。
• 用于测试 VPN 服务器的客户端计算机 - 该演示使用 Windows 10 64 位。
• 使用远程桌面 (RDP) 或您首选的桌面管理器客户端连接到 Windows Server 上的桌面 - 此演示使用默认的 RDP 窗口客户端。

在 Windows Server 上安装 OpenVPN

OpenVPN 适用于不同的操作系统，但它不随操作系统安装一起提供。通过在您的服务器上安装 OpenVPN 开始本教程。

1. 打开您喜欢的浏览器并导航至 OpenVPN 下载页面。将Windows 64 位 MSI 安装程序下载到您的服务器并运行安装程序。

2. 接下来，在安装程序向导的初始页面上单击自定义，如下所示。 自定义选项可让您为 VPN 服务器安装额外的项目。

3. 在自定义安装页面，点击OpenVPN服务下拉菜单 —> 将安装在本地硬盘上安装为您的系统提供 OpenVPN 服务。此选项还会在系统启动时启用 OpenVPN 服务。

4. 现在，向下滚动，然后单击OpenSSL Utilities下拉菜单 —> 将安装在本地硬盘驱动器上选项。此选项使 OpenSSL 库和开发标头可用于 OpenVPN 服务，并且 OpenVPN 服务需要某些加密功能。

单击立即安装在您的服务器上安装 OpenVPN。

5. 最后，安装完成后单击关闭。

为服务器和客户端生成证书和密钥

您现在已经在服务器上安装了 OpenVPN，但是如何保护服务器与客户端的连接呢？您将为服务器和客户端生成证书和密钥。

证书和密钥用于在服务器和客户端之间提供加密连接。生成证书后，您将获得唯一的公钥和私钥。

1. 以管理员身份打开命令提示符。某些 OpenVPN 命令需要提升权限才能运行。

2. 接下来，运行以下命令启动 easy-rsashell。 easy-rsa shell 用于管理证书、密钥和配置。

EasyRSA 将成为本教程其余部分的主要命令行界面。

cd C:\Program Files\OpenVPN\easy-rsa
EasyRSA-Start.bat

3. 运行下面的./easyrsa clean-all 命令清除任何现有的密钥和配置。此命令可确保您以干净的配置开始。

./easyrsa clean-all 

4. 现在，运行 ./easyrsa init-pki 命令来初始化公钥基础设施 (PKI) 并为您的证书和密钥创建新的目录结构。

公钥基础设施 (PKI) 是一个框架，允许您创建和管理供服务器和客户端使用的公钥和私钥。

./easyrsa init-pki 

输入 yes 并按 Enter 键确认您要销毁任何现有密钥并创建新的 PKI，如下所示。

5. 运行以下命令创建证书颁发机构 (CA) (build-ca)。 CA 负责向服务器和客户端颁发证书、签署这些证书、吊销证书等。

使用 nopass 选项，因此您不必每次将证书和密钥复制到客户端时都输入密码。 ./easyrsa build-ca nopass

./easyrsa build-ca nopass

配置 VPN 时，您需要为服务器和客户端生成由证书颁发机构 (CA) 签名的证书。

6. 运行以下命令构建服务器证书和密钥 (build-server-full)。此命令创建 OpenVPN 服务器证书和密钥，使用您的 CA 对其进行签名，并将文件放置在 keys 子目录中。

./easyrsa build-server-full server nopass

7. 接下来，运行以下命令生成 Diffie-Hellman 参数 (gen-dh)，然后关闭 easyrsa shell。

Diffie-Hellman 是一种允许两个用户通过不安全连接交换加密密钥的协议。即使您的加密密钥被盗，Diffie-Hellman 也需要确保您的 VPN 保持安全。

./easyrsa gen-dh

到目前为止，您已拥有下表列出的 OpenVPN 服务所需的所有必需的 SSL/TLS 密钥文件。

Folder Path

内容

C:\Program Files\OpenVPN\easy-rsa\pki

CA 文件、DH 文件和其他 OpenSSL 相关文件（例如配置文件）。

C:\Program Files\OpenVPN\easy-rsa\pki\private

包含CA、Server、Client证书的私钥文件。

C:\Program Files\OpenVPN\easy-rsa\pki\issued

包含颁发的服务器和客户端证书。

8. 最后，打开文件资源管理器，并将下面列出的文件复制到C:\Program Files\OpenVPN\config-auto和C:\Program Files\OpenVPN\easy-rsa \pki\private 文件夹。

C:\Program Files\OpenVPN\easy-rsa\pki\ca.certC:\Program Files\OpenVPN\easy-rsa\pki\dh.pemC:\Program Files\OpenVPN\easy-rsa\pki\issued\server.certC:\Program Files\OpenVPN\easy-rsa\pki\private\server.key

配置 Windows 防火墙规则

现在您已经配置了 OpenVPN 服务器，下一步是确保您可以访问该服务。您需要配置 Windows 防火墙以允许 OpenVPN 流量。

1. 运行下面的 netsh 命令以允许流量通过 Windows 防火墙，具体如下：

• 通过添加名为 OpenVPN 的规则来配置 (advfirewall) Windows 防火墙 (firewall)（add Rule name="OpenVPN"） >) Windows 防火墙。
• 允许 (action=allow) 所有本地 IP 地址 (localip=any) 和外部设备 (remoteip=any) 通过此规则进行通信。
• 告诉服务器要打开哪个端口 (localport=1194 remoteport=0-65535) 以及要使用的协议类型 (protocol=UDP)。

netsh advfirewall firewall add rule name="OpenVPN" dir=in localport=1194 remoteport=0-65535 protocol=UDP action=allow remoteip=any localip=any

2. 在您的首选文本编辑器中打开 C:\Program Files\OpenVPN\config-auto\server.ovpn 文件以预览其内容，如下所示。

.ovpn 文件是 OpenVPN 配置文件。它包含 OpenVPN 连接到 VPN 所需的所有信息，例如加密和身份验证密钥。对于本教程，您将需要一个 .ovpn 文件来配置与 VPN 服务器的连接。

最后，运行以下命令重新启动 OpenVPN 服务以应用更改。

net stop openvpnservice
net start openvpnservice

配置您的客户端

除了配置服务器以允许 OpenVPN 流量之外，您还需要配置客户端。在 OpenVPN 中，客户端是连接到 VPN 的任何计算机。本演示使用Windows 10连接服务器。

1. 按照“在服务器上安装 OpenVPN”**** 部分中的操作，在客户端上安装 OpenVPN。

2. 将下列文件从服务器复制到客户端的 C:\Program Files\OpenVPN\config 文件夹。

C:\Program Files\OpenVPN\easy-rsa\pki\ca.certC:\Program Files\OpenVPN\easy-rsa\pki\issued\client.crtC:\Program Files\OpenVPN\easy-rsa\pki\issued\client.key

3. 最后，打开C:\Program Files\OpenVPN\config\client.ovpn 文件并使用以下内容填充该文件。将 YOUR_OPENVPN_IP 替换为您的实际 Windows Server IP 地址。

# client is your account name, but you can choose your preferred name
client
# dev tun is the kind of VPN connection you need, using an ethernet connection.
dev tun
# Protocol (UDP) used this VPN connection
proto udp
# Set the IP address of your OpenVPN server. 
# 1194 is the port of your OpenVPN server.
remote YOUR_OPENVPN_IP 1194
# Resolve your domain names when they are not found, 
# so you don't see "domain not found" errors.
resolv-retry infinite
# Change the value from "nobind" to "sea " to disconnect your internet 
# when the VPN ID is disconnected.
nobind
# Your encryption key will be saved for the next time 
# you connect to the OpenVPN server.
persist-key
# your VPN connection will be saved for the next time you use it.
persist-tun
# The certificate your VPN server uses to identify itself to you (the client). 
# You can download it from your VPN server.
ca ca.crt
# the name of your certificate.
cert client01.crt
# the name of your encryption key.
key client01.key
# LZO data compression will compress your blocks of data 
# before sending so that the data should be smaller and faster.
comp-lzo
# The level of verbosity of your output will be set to the maximum.
# So that you will get the most amount of information from your connection.
# This feature is handy when trying to debug your connection.
verb 3

测试客户端的 VPN 连接

现在您已经安装并配置了服务器和客户端，是时候测试它们之间的连接是否正常工作了。

在 Windows 10 客户端上，运行 OpenVPN GUI。

右键单击通知区域中的 OpenVPN 状态图标（带有挂锁图标的监视器），然后选择连接将客户端连接到您的 VPN。

客户端连接后，OpenVPN 状态图标将变为绿色，并且您将收到VPN 现已连接通知，如下所示。

为了进行双重检查，您可以使用分配的 IP 地址 (10.8.0.2) ping 您的 VPN 服务器。

ping [10.8.0.2](<http://10.8.0.2/>)

下面的输出确认您的 VPN 正常工作。

结论

在本教程中，您学习了在 Windows Server 上安装 OpenVPN 的正确步骤。您还学习了如何通过 OpenVPN 配置文件 (.ovpn) 配置 OpenVPN 服务器和客户端。至此，您已经拥有了一个功能齐全的 VPN 服务，您可以使用它来保护您的互联网连接以安全地浏览网页。

现在，为什么不利用这些新发现的知识，使用 AWS VPC VPN 网关服务将您的 VPN 连接扩展到 Amazon AWS VPC？