在现代网络环境中，虚拟私人网络（VPN）已成为保障数据传输安全、实现远程访问和跨地域通信的重要工具，对于运行 Linux 操作系统的网络工程师而言，掌握命令行工具来配置和管理 VPN 连接至关重要，nmcli（NetworkManager Command Line Interface）作为 NetworkManager 的核心命令行接口，提供了强大的功能来管理包括 VPN 在内的各种网络连接，本文将详细介绍如何使用 nmcli vpn 相关命令，帮助你在 Linux 系统中高效、灵活地配置和控制 VPN 服务。

确保你的系统已安装并启用了 NetworkManager 服务，大多数主流 Linux 发行版（如 Ubuntu、CentOS、Fedora）默认都包含此服务,可以通过以下命令检查是否启用：

sudo systemctl status NetworkManager

若未运行，可使用 sudo systemctl start NetworkManager 启动服务。

我们聚焦于 nmcli vpn 子命令，它主要用于管理与 NetworkManager 集成的各类 VPN 类型，如 OpenVPN、IPsec、WireGuard 等，要查看当前系统支持的 VPN 类型,可以执行：

nmcli connection show --type vpn

该命令会列出所有已配置的 VPN 连接，如果你尚未添加任何 VPN 连接,则输出为空。

创建一个新的 VPN 连接，例如配置一个 OpenVPN 连接,可使用如下命令：

nmcli connection add type vpn con-name "MyOpenVPN" ifname "*" vpn-type openvpn \
    vpn.data "remote=your.vpn.server.com:1194,ca=/etc/openvpn/ca.crt,auth-user-pass=/etc/openvpn/credentials.txt"

• con-name 是连接名称；
• ifname "*" 表示由 NetworkManager 自动分配接口；
• vpn-type 指定协议类型（如 openvpn、ipsec、wireguard）；
• vpn.data 包含必要的配置参数,通常以键值对形式传入。

需要注意的是，敏感信息（如用户名密码）建议通过文件引用方式传入，避免明文暴露在命令历史中。auth-user-pass 文件应仅对 root 可读。

配置完成后,可通过以下命令激活连接：

nmcli connection up "MyOpenVPN"

如果需要断开连接,执行：

nmcli connection down "MyOpenVPN"

nmcli vpn 还支持查询连接状态和修改现有配置。

nmcli connection show "MyOpenVPN" --ask

此命令会交互式提示你修改某些字段（如密码、证书路径等）,适用于动态调整而无需重新创建连接。

更进一步，你可以使用 nmcli device 查看设备状态，确认 VPN 是否成功建立：

nmcli device status

如果看到对应接口状态为“connected”,则表示连接成功。

值得注意的是，不同类型的 VPN（如 IPsec 和 OpenVPN）在配置细节上略有差异，IPsec 通常需要指定预共享密钥（PSK）、IKE 版本等参数，这些都应在 vpn.data 中正确设置。

nmcli vpn 是 Linux 网络工程师不可或缺的工具之一，尤其适合自动化脚本、服务器部署或无人值守环境下的远程网络管理，相比图形界面，它更加轻量、可编程且易于集成到 CI/CD 流程中，掌握其用法不仅能提升运维效率，还能增强对底层网络机制的理解,是通往专业级网络工程的必经之路。