技術背景
企業常見需求：實現公有云服務器、分支機構A、分支機構B的網絡互通。相比PPTP協議，OpenVPN在安全性（TLS加密）和穩定性上更具優勢。

一、環境搭建（服務端配置） 1. 安裝OpenVPN服務端

• 操作系統

  ：Windows Server 2016+

• 軟件版本

  ：OpenVPN 2.6.13-I001（關鍵組件：X509證書管理）

• 安裝路徑

  ： C:\Program Files\OpenVPN

? 安裝要點
勾選Certificate Management組件

2. 證書體系生成 步驟分解：

1. 復制vars.example → vars

2. 管理員身份運行 EasyRSA-Start.bat

   


   
   

   


3. 依次執行以下命令：

./easyrsa init-pki        # 初始化PKI結構
./easyrsa build-ca nopass # 生成CA證書
./easyrsa build-server-full server nopass # 服務端證書
./easyrsa build-client-full client nopass # 客戶端證書
./easyrsa gen-dh          # 生成DH參數

把這些生成的文件，全部復制到C:\Program Files\OpenVPN\config目錄，C:\Program Files\OpenVPN\sample-config目錄下有服務端配置文件模板server.ovpn，也復制過來。

二、服務端配置 server.ovpn核心配置：

port 1194                    # 默認端口
proto udp                  # 推薦UDP協議
dev tap                   # 使用TAP模式
ca ca.crt
cert server.crt
key server.key
dh dh.pem
data-ciphers AES-256-GCM    # 加密算法
server 10.8.0.0 255.255.255.0 # VPN網段
push "route 172.16.100.0 255.255.255.0" # 內網路由推送
client-to-client          # 允許客戶端間通信
duplicate-cn              # 支持多設備同名
keepalive 10 120           # 心跳檢測

配置技巧

• 若需客戶端自定義IP，啟用 ifconfig-pool-persist ipp.txt

• Windows服務端需提前啟用 IP轉發 功能（見下文）

參數項

服務端值

協議類型

UDP

隧道模式

TAP

加密算法

AES-256-GCM

LZO壓縮

禁用

證書上傳
將客戶端證書（client.crt）和私鑰（client.key）粘貼到設備證書管理界面

四、高級配置 1. Windows IP轉發設置

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
IPEnableRoute=1

?? 需重啟生效

2. 客戶端靜態路由配置

Route 192.168.9.0 255.255.255.0 10.8.0.3 metric 16 if 5

• if 5

  ：通過 route print 獲取網卡接口號

1. 服務端檢查路由表：

route print

順便提一句：Windows Server的“路由和遠程訪問”必須啟用，否則網絡無法轉發。

?? 兩個分支機構必須互寫路由，才能實現直接通訊

七、常見問題排查

現象

解決方案

服務端無法連接

檢查服務端日志

客戶端無法連接

檢測配置是否一致，檢查云端安全策略

內網不通

確認路由推送配置和IP轉發開啟

進階方向

• 部署多節點集群提高可用性

• 配置防火墻規則實現精細化訪問控制

• 筆記本電腦及手機端的遠程接入訪問

歡迎關注和討論
持續更新，希望得到您的關注；也歡迎留言討論