在现代网络环境中，虚拟机（VM）已成为开发、测试和生产环境中的重要工具，对于需要远程访问内部资源或构建安全通信通道的用户来说，在虚拟机中搭建一个私有VPN服务是一个高效且灵活的选择，本文将详细介绍如何在主流虚拟化平台（如 VMware、VirtualBox 或 Proxmox）中，基于 Linux 系统（以 Ubuntu 为例）搭建一个 OpenVPN 服务器,并实现客户端安全接入。

第一步：准备虚拟机环境
确保你已安装好虚拟机软件并创建一台运行 Ubuntu Server 20.04 LTS 的虚拟机，分配至少 2GB 内存和 20GB 硬盘空间，网络模式选择“桥接”或“NAT”，以便虚拟机能获得公网 IP 或通过宿主机访问外网。

第二步：安装 OpenVPN 和 Easy-RSA
登录虚拟机后,更新系统并安装所需软件包：

sudo apt update && sudo apt install openvpn easy-rsa -y

Easy-RSA 是用于生成证书和密钥的工具，是 OpenVPN 安全认证的核心组件。

第三步：配置证书颁发机构（CA）
复制 Easy-RSA 模板到本地目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑 vars 文件，设置国家、组织等信息，然后执行以下命令生成 CA 证书：

./clean-all
./build-ca

接着生成服务器证书和密钥：

./build-key-server server

为每个客户端生成唯一证书（例如客户端名为 client1）：

./build-key client1

第四步：生成 Diffie-Hellman 参数和 TLS 密钥
这些参数用于加密通信安全：

./build-dh
openvpn --genkey --secret ta.key

第五步：配置 OpenVPN 服务
创建主配置文件 /etc/openvpn/server.conf如下：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh.pem
tls-auth /etc/openvpn/ta.key 0
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

第六步：启用 IP 转发和防火墙规则
开启内核转发：

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p

配置 iptables 规则,允许流量转发：

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i tun0 -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -i eth0 -o tun0 -j ACCEPT

第七步：启动 OpenVPN 并测试
启动服务：

systemctl enable openvpn@server
systemctl start openvpn@server

客户端可使用 .ovpn 配置文件连接，该文件包含 CA 证书、客户端证书、密钥及服务器地址，建议使用 OpenVPN GUI 客户端（Windows/macOS/Linux）进行配置。

至此，你已在虚拟机中成功部署了一个功能完整的 OpenVPN 服务，可用于远程办公、多站点互联或安全数据传输，此方案成本低、灵活性高,非常适合中小型企业或个人开发者使用。