在当今高度互联的数字环境中,虚拟私人网络（VPN）已成为个人用户和企业保障网络安全、隐私和访问权限的重要工具，尤其是在远程办公、跨境访问受限内容或需要加密通信的场景中，手动配置一个稳定可靠的VPN服务显得尤为关键，本文将以“天行”这一开源或自建平台为例，详细介绍如何通过手动方式配置一个基于OpenVPN的本地服务器，实现跨地域的安全连接。

准备工作必不可少,你需要一台运行Linux系统的服务器（如Ubuntu 20.04或CentOS 7），并确保其拥有公网IP地址，若无固定IP，可考虑使用DDNS服务绑定动态域名，准备好一台客户端设备（如Windows、macOS或Android手机），用于测试连接。

第一步是安装OpenVPN服务端软件,在Ubuntu系统中，执行以下命令即可完成安装：

sudo apt update
sudo apt install openvpn easy-rsa -y

使用Easy-RSA工具生成证书和密钥，进入/etc/openvpn/easy-rsa目录后，运行：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca
sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

这些步骤将创建CA根证书、服务器证书及私钥，为后续加密通信奠定基础。

第二步是配置OpenVPN服务端文件,复制示例配置文件到主目录，并编辑：

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
sudo nano /etc/openvpn/server.conf

修改关键参数如下：

• port 1194：指定监听端口（建议改为非默认端口以降低扫描风险）
• proto udp：选择UDP协议，延迟更低
• dev tun：创建TUN虚拟网卡
• ca ca.crt, cert server.crt, key server.key：引用前面生成的证书文件
• dh dh.pem：生成Diffie-Hellman密钥交换参数（运行sudo ./easyrsa gen-dh）

保存后启用IP转发和防火墙规则,编辑/etc/sysctl.conf，取消注释net.ipv4.ip_forward=1，然后应用设置：

sudo sysctl -p
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

第三步是为客户端生成证书和配置文件,在Easy-RSA目录下运行：

sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

然后将ca.crt、client1.crt、client1.key打包发送给客户端。

在客户端设备上安装OpenVPN客户端（如Windows上的OpenVPN GUI），导入配置文件即可连接，首次连接可能提示证书验证失败，需确认证书指纹一致。

通过以上步骤,你已成功搭建了一个基于天行框架的手动OpenVPN环境，相比图形化工具，这种方式更灵活可控，也更适合技术爱好者和中小型企业部署，维护过程中还需定期更新证书、监控日志、防范DDoS攻击等，掌握手动配置技能，不仅提升网络韧性，也为未来扩展如WireGuard或自定义策略提供了坚实基础。