随着远程办公、居家学习和隐私保护意识的提升，越来越多用户希望在家中或移动设备上安全访问私有网络资源，树莓派（Raspberry Pi）作为一款低成本、高性能的嵌入式计算平台，成为搭建个人VPN服务器的理想选择，本文将详细介绍如何在树莓派上部署一个基于OpenVPN的服务，实现加密隧道传输，保障数据安全,并提供稳定可靠的远程访问能力。

确保你已准备好以下硬件与软件环境：

• 一台树莓派（推荐使用RPi 3B+或更高版本，具备以太网接口）
• 一张至少8GB的MicroSD卡（用于安装操作系统）
• 稳定的互联网连接（建议固定公网IP，或配置DDNS服务）
• SSH客户端（如PuTTY或终端工具）

第一步：安装操作系统并配置基础环境
使用Raspberry Pi Imager工具将Raspberry Pi OS Lite（无图形界面版）写入SD卡，首次启动后，通过SSH登录（默认用户名pi，密码raspberry）,执行以下命令更新系统：

sudo apt update && sudo apt upgrade -y

第二步：安装OpenVPN及相关组件
OpenVPN是开源且广泛使用的SSL/TLS协议实现，安全性高、兼容性强,运行以下命令安装：

sudo apt install openvpn easy-rsa -y

第三步：生成证书和密钥（PKI体系）
OpenVPN依赖于公钥基础设施（PKI）来验证客户端与服务器的身份，进入Easy-RSA目录并初始化：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass  # 创建根证书颁发机构（CA）
sudo ./easyrsa gen-req server nopass  # 生成服务器证书请求
sudo ./easyrsa sign-req server server  # 签署服务器证书
sudo ./easyrsa gen-req client1 nopass  # 为客户端生成证书请求
sudo ./easyrsa sign-req client client1  # 签署客户端证书

第四步：配置OpenVPN服务端
创建配置文件 /etc/openvpn/server.conf如下（可根据需要调整端口、协议等）：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

第五步：启用IP转发与防火墙规则
编辑 /etc/sysctl.conf，取消注释 net.ipv4.ip_forward=1,然后执行：

sudo sysctl -p
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT

启动服务并设置开机自启：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

至此，你的树莓派已成功运行OpenVPN服务器，客户端只需导出证书文件（ca.crt、client1.crt、client1.key），配合OpenVPN客户端即可连接，此方案不仅成本低廉，而且高度可控，适合家庭或小型团队使用，真正实现“我的网络我做主”。