OpenVPN作为一个成熟的VPN，通常具备以下特性：

• 机密性：对数据进行加密，确保数据在传输过程中不被非法查看。加密有对于流的加密：RC4、数据块加密：DES、3DES、AES 128/192/256
• 完整性：对接收到数据包进行完整性验证，以确保数据在传输过程中没被篡改。例如MD5、SHA1、SHA2
• 真实性：验证数据源，以保证数据来自真实的发送者。
• 抗重性：防止恶意用户通过重复发送捕获到数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。

当然，有些时候为了追求性能或是网络已经足够安全，可以关闭加密。

安装OpenVPN和easy-rsa

使用Ubuntu的包管理工具即可安装。easy-rsa用于签发OpenVPN的证书。
在终端中输入命令即可完成安装。
apt update && apt install openvpn easy-rsa

使用easy-rsa生成证书

easy-rsa安装完成后，在/usr/share/easy-rsa下存放着easy-rsa的脚本，我们可以使用这些脚本轻松生成证书。

/usr/share/easy-rsa# ls
build-ca     build-key-pass    build-req-pass  list-crl           openssl.cnf  vars
build-dh     build-key-pkcs12  clean-all       openssl-0.9.6.cnf  pkitool      whichopensslcnf
build-inter  build-key-server  inherit-inter   openssl-0.9.8.cnf  revoke-full
build-key    build-req         keys            openssl-1.0.0.cnf  sign-req

如果没有这些文件，说明easy-rsa版本不对。我这边使用的是easy-rsa 2.x版本的，可以在这里
找到。个人认为easy-rsa 2.x生成证书更方便一点。

先设置证书参数的变量。拷贝一份变量模板，再打开变量配置文件，我这使用vim打开。

#cp  vars.example vars
#vim vars

改动的地方在文件底部附近，可以按照个人喜好进行修改，但不要留空，KEY_COUNTRY字段请用两个字符的国家/地区代号。

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="US"
export KEY_PROVINCE="California"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"
export KEY_OU="MyOrganizationalUnit"

# X509 Subject Field
export KEY_NAME="EasyRSA"

然后就可以用下面的命令生成证书

#载入环境变量
source vars
# 清除keys目录下所有与证书相关的文件
# 下面步骤生成的证书和密钥都在/usr/share/easy-rsa/keys目录里
./clean-all
 
# 生成根证书ca.crt和根密钥ca.key（一路按回车即可）
./build-ca --batch
 
# 为服务端生成证书和私钥
./build-key-server  --batch server
 
# 每一个登陆的VPN客户端需要有一个证书
# 为客户端生成证书和私钥
./build-key --batch client

#使用for循环批量生成客户端证书和私钥
for i in $(seq 1 10)
do
./build-key --batch client$i
done

# 创建Diffie-Hellman密钥，会生成dh2048.pem文件（生成过程比较慢，在此期间不要去中断它）
./build-dh

# 生成ta.key文件（防DDos攻击、UDP淹没等恶意攻击）
openvpn --genkey --secret keys/ta.key

将生成的keys文件夹复制到/etc/openvpn下
cp -r keys /etc/openvpn

创建服务器配置文件

gzip -d /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
cd /etc/openvpn
#创建client config dir
mkdir /etc/openvpn/ccd

打开/etc/openvpn/server.conf，按照你的需求修改配置文件。

#监听的本地ip地址
#如果程序不能监听ipv6地址，请改成
#local 0.0.0.0
local ::
#本地端口。不建议用默认的1194端口。改成你喜欢的端口。
port 1194

# TCP or UDP server?
#UPD流量可能会被运营商QoS；使用TCP会出现TCP over TCP，在高丢包率网络下严重影响传输效率
#看情况选择协议
;proto tcp
proto udp
#指定程序采用二层隧道还是三层隧道。
#因为传输二层数据会多传一个以太网数据帧头部，所以会带来一点带宽浪费。
#推荐使用三层隧道，也就是tun模式。
;dev tap
dev tun

# Any X509 key management system can be used.
# OpenVPN can also use a PKCS #12 formatted key file
# (see "pkcs12" directive in man page).
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret

dh /etc/openvpn/dh2048.pem
#openvpn服务器和客户端之间的网段。
server 10.8.0.0 255.255.255.0
#推送服务器的路由给客户端
push "route 192.168.10.0 255.255.255.0"

# Maintain a record of client <-> virtual IP address
# associations in this file.  If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
ifconfig-pool-persist /var/log/openvpn/ipp.txt
#用户配置文件夹
client-config-dir /etc/openvpn/ccd
#是否允许客户端和客户端之间通信
client-to-client
#是否允许多个客户端使用同一个证书
duplicate-cn
#心跳包
#每隔10秒一次，120秒未收到回复则判定客户端掉线
keepalive 10 120

tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret

cipher AES-256-GCM
#启用lz4-v2压缩流量
compress lz4-v2
push "compress lz4-v2"

# It's a good idea to reduce the OpenVPN
# daemon's privileges after initialization.
#
# You can uncomment this out on
# non-Windows systems.
;user nobody
;group nogroup

# The persist options will try to avoid
# accessing certain resources on restart
# that may no longer be accessible because
# of the privilege downgrade.
persist-key
persist-tun

# Output a short status file showing
# current connections, truncated
# and rewritten every minute.
status /var/log/openvpn/openvpn-status.log
;log         /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log

# Set the appropriate level of log
# file verbosity.
#
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 3

# Notify the client that when the server restarts so it
# can automatically reconnect.
explicit-exit-notify 1

配置文件修改完成后，可以使用下面的命令启动程序

service openvpn@server start

启动成功后会看到一块虚拟网卡

#ifconfig
tun: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.8.0.1  netmask 255.255.255.255  destination 10.8.0.2
        inet6 fe80::2b96:4d98:3735:9a0  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2  bytes 96 (96.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

如果启动失败了，可以查看日志/var/log/openvpn/openvpn.log来判断错误原因。

客户端配置

client
dev tun0
proto udp
#把10.99.99.99 1194换成你的服务器的ip和端口
remote 10.99.99.99 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
#client.crt和client.key可以成对替换成其它的客户端证书
cert client.crt
key client.key
ns-cert-type server
tls-auth ta.key 1
compress lz4-v2
verb 3

将上面的代码保存为client.ovpn，然后将ca.crt，client.key，client.crt，ta.key从/etc/openvpn/keys里复制出来，和client.ovpn保存在一个文件夹里。就可以在其它客户端里导入配置文件了。

服务器网络配置

如果就加密访问服务器本身的话，不用配置网络，本章和下面一章都不用看了。
服务器端启动了，配置导入了，别急着连接。先配置一下网络。
首先要开启内核的数据包转发。打开/etc/sysctl.conf，在此文件里添加一行。
net.ipv4.ip_forward=1
然后输入sysctl -p，这样就已经打开内核数据包转发了。
如果要通过隧道访问另一个网段，而且本服务器不是这个网段的网关，就要设置NAT策略或者静态路由。
例如，外部客户端连到Ubuntu服务器上的OpenVPN服务端，而这台Ubuntu服务器是路由器下面的一个设备，外部客户端想要访问路由器或者路由器下面的其它设备。
先说NAT策略，使用iptables即可完成设置。

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -d 10.8.0.0/24 -j ACCEPT

如果不做NAT策略，也可以在路由器上设置一条静态路由，将10.8.0.0/24这个网段的数据包的转发至Ubuntu服务器的ip地址。