基于 Linux 快速部署 OpenConnect VPN 服务(ocserv 实战指南)

一、前言

在如今远程办公和内网穿透需求日益增长的背景下，搭建一套安全、稳定、高效的 VPN 系统显得尤为重要。OpenConnect Server（ocserv）是一个开源、高性能的 VPN 服务端软件，兼容 Cisco AnyConnect 协议，适合个人和企业快速部署安全访问环境。本文将手把手教你如何基于 Linux 快速搭建 OpenConnect VPN 服务器。

二、环境准备

• 服务器系统：Ubuntu 20.04 / CentOS 7+
• CPU：1核以上
• 内存：1GB 以上（推荐2GB）
• 公网IP：1个
• 开放端口：TCP 443

三、安装 OpenConnect Server（ocserv）

1. 更新系统

sudo apt update && sudo apt upgrade -y

或

sudo yum update -y

2. 安装依赖

Ubuntu 系统：

sudo apt install ocserv gnutls-bin -y

CentOS 系统：

sudo yum install epel-release -y

sudo yum install ocserv gnutls-utils -y

四、生成 SSL 证书

可以使用 Let’s Encrypt 免费证书或自签证书。

以自签证书为例：

sudo mkdir /etc/ocserv/certs

cd /etc/ocserv/certs

# 生成私钥

openssl genrsa -out server.key 4096

# 生成证书签发请求

openssl req -new -key server.key -out server.csr

# 自签证书（有效期3650天）

openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt

证书生成后，放置到 /etc/ocserv 目录下。

五、配置 ocserv

编辑主配置文件 /etc/ocserv/ocserv.conf：

sudo nano /etc/ocserv/ocserv.conf

修改以下关键内容：

auth = "plain[/etc/ocserv/ocpasswd]"

tcp-port = 443

udp-port = 443

server-cert = /etc/ocserv/certs/server.crt

server-key = /etc/ocserv/certs/server.key

ipv4-network = 192.168.100.0

ipv4-netmask = 255.255.255.0

default-domain = vpn.example.com

dns = 8.8.8.8

dns = 1.1.1.1

# 最大客户端连接数

max-clients = 128

max-same-clients = 4

六、添加 VPN 用户

创建用户密码文件并添加用户：

sudo ocpasswd -c /etc/ocserv/ocpasswd yourusername

输入两次密码完成。

七、配置防火墙与开启转发

开启内核转发：

sudo sysctl -w net.ipv4.ip_forward=1

sudo sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf

sudo sysctl -p

配置防火墙（以 UFW 为例）：

sudo ufw allow 443/tcp

sudo ufw allow 443/udp

配置 NAT 转发规则：

sudo iptables -t nat -A POSTROUTING -j MASQUERADE

或者添加到 /etc/rc.local 中开机自动应用。

八、启动并设置开机自启

sudo systemctl start ocserv

sudo systemctl enable ocserv

查看状态：

sudo systemctl status ocserv

九、客户端连接

下载 Cisco AnyConnect 或 OpenConnect 客户端，根据服务器 IP 或域名进行连接，输入用户名密码即可接入 VPN。

十、总结

通过 OpenConnect Server（ocserv），可以快速搭建一套稳定、安全的 VPN 环境，兼容各种设备（Windows、Linux、Android、iOS）。适用于远程办公、加密通信、访问内网服务等多种应用场景，极大提升了办公和网络使用的灵活性与安全性。