在当今企业网络环境中,内网服务器作为核心数据处理和存储节点，其安全性与可访问性至关重要，随着远程办公、移动运维等需求的增长，如何在保障网络安全的前提下实现对内网服务器的安全访问，成为许多网络工程师面临的挑战，利用内网服务器自身搭建VPN（虚拟私人网络）便成为一个既经济又高效的选择，本文将详细介绍如何基于Linux系统（如Ubuntu或CentOS）在内网服务器上部署OpenVPN服务，实现远程安全访问。

明确部署目标：通过建立一个加密隧道，使外部用户能够像在局域网中一样访问内网服务器资源，同时避免暴露关键端口（如SSH 22端口）到公网，从而降低被攻击风险，OpenVPN因其开源、稳定、支持多种认证方式（用户名密码+证书、双因素验证等），成为理想选择。

第一步是准备环境,确保内网服务器运行Linux操作系统，并具备静态IP地址（或绑定域名解析），推荐使用root权限操作，或切换到sudo用户，安装OpenVPN及相关工具包，例如在Ubuntu中执行：

sudo apt update && sudo apt install openvpn easy-rsa -y

第二步是配置证书颁发机构（CA），Easy-RSA工具用于生成PKI体系，包括根证书、服务器证书和客户端证书，进入/etc/openvpn/easy-rsa/目录后，执行：

make-cadir /etc/openvpn/easy-rsa/myca
cd /etc/openvpn/easy-rsa/myca

编辑vars文件，设置国家、组织名称等信息，然后依次生成密钥和证书：

./clean-all
./build-ca
./build-key-server server
./build-key client1
./build-dh

第三步是配置OpenVPN服务端,创建主配置文件/etc/openvpn/server.conf示例如下：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/myca/ca.crt
cert /etc/openvpn/easy-rsa/myca/server.crt
key /etc/openvpn/easy-rsa/myca/server.key
dh /etc/openvpn/easy-rsa/myca/dh2048.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"  # 推送内网路由
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

注意：push "route"指令用于让客户端能访问内网其他子网（如192.168.1.0/24），需根据实际网络调整。

第四步是启动服务并配置防火墙,启用IP转发（在/etc/sysctl.conf中设置net.ipv4.ip_forward=1并生效），再配置iptables规则：

iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

启动OpenVPN服务：

systemctl enable openvpn@server
systemctl start openvpn@server

客户端配置：将生成的客户端证书（client1.crt）、私钥（client1.key）、CA证书（ca.crt）打包为.ovpn文件，供用户导入OpenVPN客户端（如Windows的OpenVPN GUI或Android的OpenVPN Connect）。

通过上述步骤,你可以在内网服务器上构建一个安全、可控的远程访问通道，不仅保护了服务器免受公网攻击，还实现了灵活的远程运维能力，建议定期更新证书、监控日志，并结合堡垒机（Jump Server）进一步增强权限管理，打造更完善的零信任架构。