13.07.2026
openvpn как настроить сервер
OpenVPN: как настроить сервер — пошаговая инструкция для начинающих и профессионалов
Если вы хотите обеспечить себе надежную защиту данных, доступ к ресурсам из любой точки мира или создать собственный VPN-сервер, OpenVPN — отличный выбор. В этой статье я расскажу, как правильно настроить сервер OpenVPN, чтобы он работал стабильно и безопасно. Пошагово, понятно и без лишней воды.
Почему именно OpenVPN?
OpenVPN — это один из самых популярных и проверенных временем решений для создания VPN. Он открыт, постоянно развивается, и его легко настроить под любые нужды: от личного использования до корпоративных решений.
Что понадобится для настройки?
Перед началом убедитесь, что у вас есть:
- Виртуальный или физический сервер с Linux (рекомендуется Ubuntu 20.04 или новее)
- Доступ по SSH с правами администратора
- Доменное имя или статический IP-адрес (желательно)
- Немного терпения и желание разобраться
Шаг 1. Установка OpenVPN и Easy-RSA
Откройте терминал и выполните команды:
sudo apt update
sudo apt install openvpn easy-rsa -y
Это установит все необходимые компоненты для дальнейшей работы.
Шаг 2. Настройка PKI (инфраструктуры открытых ключей)
Создайте директорию для Easy-RSA и подготовьте ее:
make-cadir ~/easy-rsa
cd ~/easy-rsa
Инициализируйте PKI:
./easyrsa init-pki
Создайте корневой сертификат и ключ:
./easyrsa build-ca
Вы будете запрошены ввести пароль и название организации — задайте свои значения.
Шаг 3. Создание серверных сертификатов и ключей
Создайте сертификат и ключ для сервера:
./easyrsa build-server-full server nopass
Также создайте сертификаты для клиентов (например, для одного клиента):
./easyrsa build-client-full client1 nopass
Шаг 4. Генерация диффи-Хеллман параметров
Это важный этап для безопасности соединения:
./easyrsa gen-dh
Копируем необходимые файлы в папку OpenVPN:
sudo cp pki/ca.crt pki/private/ca.key pki/issued/server.crt pki/private/server.key pki/dh.pem /etc/openvpn
Шаг 5. Настройка конфигурационного файла сервера
Создайте файл /etc/openvpn/server.conf со следующим содержимым:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
auth SHA256
tls-auth ta.key 0
tls-version-min 1.2
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
Обратите внимание, что для tls-auth потребуется дополнительный ключ.
Шаг 6. Генерация TLS-ключа
openvpn --genkey --secret ta.key
sudo cp ta.key /etc/openvpn
Шаг 7. Включение IP-маршрутизации и настройка брандмауэра
Чтобы сервер мог пересылать трафик, включите маршрутизацию:
sudo sysctl -w net.ipv4.ip_forward=1
Добавьте это в /etc/sysctl.conf, чтобы сохранить после перезагрузки.
Настройте брандмауэр для NAT:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Замените eth0 на название вашего сетевого интерфейса.
Сделайте правило постоянным, например, с помощью iptables-persistent.
Шаг 8. Запуск OpenVPN-сервера
sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server
Проверьте статус:
sudo systemctl status openvpn@server
Шаг 9. Настройка клиента
Для клиента подготовьте конфигурационный файл, например, client.ovpn, и вставьте туда следующие строки:
client
dev tun
proto udp
remote ваш_ip_или_домен 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
verb 3
Также перед этим нужно подготовить файлы сертификатов и ключей для клиента.
Итог
Настройка OpenVPN — не такая сложная задача, как кажется. Главное — внимательно следовать инструкциям, не спешить и проверять каждый шаг. После настройки у вас будет собственный защищенный VPN-сервер, доступный в любой точке России и мира.
Если понадобилась помощь или есть вопросы — пишите, я помогу разобраться! И помните: безопасность — это не разовая настройка, а постоянный процесс.