Svyaz

13.07.2026

openvpn как настроить сервер

Svyaz VPN — свобода без границ

OpenVPN: как настроить сервер — пошаговая инструкция для начинающих и профессионалов

Если вы хотите обеспечить себе надежную защиту данных, доступ к ресурсам из любой точки мира или создать собственный VPN-сервер, OpenVPN — отличный выбор. В этой статье я расскажу, как правильно настроить сервер OpenVPN, чтобы он работал стабильно и безопасно. Пошагово, понятно и без лишней воды.

Почему именно OpenVPN?

OpenVPN — это один из самых популярных и проверенных временем решений для создания VPN. Он открыт, постоянно развивается, и его легко настроить под любые нужды: от личного использования до корпоративных решений.

Что понадобится для настройки?

Перед началом убедитесь, что у вас есть:

  • Виртуальный или физический сервер с Linux (рекомендуется Ubuntu 20.04 или новее)
  • Доступ по SSH с правами администратора
  • Доменное имя или статический IP-адрес (желательно)
  • Немного терпения и желание разобраться

Шаг 1. Установка OpenVPN и Easy-RSA

Откройте терминал и выполните команды:

sudo apt update
sudo apt install openvpn easy-rsa -y

Это установит все необходимые компоненты для дальнейшей работы.

Шаг 2. Настройка PKI (инфраструктуры открытых ключей)

Создайте директорию для Easy-RSA и подготовьте ее:

make-cadir ~/easy-rsa
cd ~/easy-rsa

Инициализируйте PKI:

./easyrsa init-pki

Создайте корневой сертификат и ключ:

./easyrsa build-ca

Вы будете запрошены ввести пароль и название организации — задайте свои значения.

Шаг 3. Создание серверных сертификатов и ключей

Создайте сертификат и ключ для сервера:

./easyrsa build-server-full server nopass

Также создайте сертификаты для клиентов (например, для одного клиента):

./easyrsa build-client-full client1 nopass

Шаг 4. Генерация диффи-Хеллман параметров

Это важный этап для безопасности соединения:

./easyrsa gen-dh

Копируем необходимые файлы в папку OpenVPN:

sudo cp pki/ca.crt pki/private/ca.key pki/issued/server.crt pki/private/server.key pki/dh.pem /etc/openvpn

Шаг 5. Настройка конфигурационного файла сервера

Создайте файл /etc/openvpn/server.conf со следующим содержимым:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
auth SHA256
tls-auth ta.key 0
tls-version-min 1.2
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

Обратите внимание, что для tls-auth потребуется дополнительный ключ.

Шаг 6. Генерация TLS-ключа

openvpn --genkey --secret ta.key
sudo cp ta.key /etc/openvpn

Шаг 7. Включение IP-маршрутизации и настройка брандмауэра

Чтобы сервер мог пересылать трафик, включите маршрутизацию:

sudo sysctl -w net.ipv4.ip_forward=1

Добавьте это в /etc/sysctl.conf, чтобы сохранить после перезагрузки.

Настройте брандмауэр для NAT:

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Замените eth0 на название вашего сетевого интерфейса.

Сделайте правило постоянным, например, с помощью iptables-persistent.

Шаг 8. Запуск OpenVPN-сервера

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

Проверьте статус:

sudo systemctl status openvpn@server

Шаг 9. Настройка клиента

Для клиента подготовьте конфигурационный файл, например, client.ovpn, и вставьте туда следующие строки:

client
dev tun
proto udp
remote ваш_ip_или_домен 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
verb 3

Также перед этим нужно подготовить файлы сертификатов и ключей для клиента.

Итог

Настройка OpenVPN — не такая сложная задача, как кажется. Главное — внимательно следовать инструкциям, не спешить и проверять каждый шаг. После настройки у вас будет собственный защищенный VPN-сервер, доступный в любой точке России и мира.

Если понадобилась помощь или есть вопросы — пишите, я помогу разобраться! И помните: безопасность — это не разовая настройка, а постоянный процесс.