Windows Server 部署 OpenVPN 服务完整指南，从环境准备到客户端配置

在企业网络或远程办公场景中,安全、稳定的远程访问至关重要，OpenVPN 是一款开源的虚拟私人网络（VPN）解决方案，以其高安全性、灵活性和跨平台支持广受欢迎，本文将详细介绍如何在 Windows Server 上部署 OpenVPN 服务，包括环境准备、证书生成、服务安装、防火墙配置及客户端连接等全流程。

确保你的 Windows Server 环境满足基本要求：推荐使用 Windows Server 2016 或更高版本，具备静态公网 IP 地址（用于外网访问），并已安装 .NET Framework 4.8 和 OpenSSL 工具（可从 https://slproweb.com/products/Win32OpenSSL.html 下载），建议使用最小化安装模式以降低风险。

第一步是生成证书和密钥,OpenVPN 使用 TLS 协议进行加密通信，因此必须配置 CA（证书颁发机构）证书、服务器证书和客户端证书，可以使用 Easy-RSA 工具包来简化操作，下载并解压 Easy-RSA 到服务器本地目录（如 C:\EasyRSA），运行 init.bat 初始化，然后执行 build-ca.bat 创建根CA证书，接着用 build-key-server.bat 生成服务器证书，最后通过 build-key.bat clientname 为每个客户端创建独立证书。

第二步安装 OpenVPN 服务端软件，从官网（https://openvpn.net/community-downloads/）下载 Windows 版本的 OpenVPN 安装包（推荐 OpenVPN Community Edition），双击运行并按提示完成安装，安装完成后，在“开始菜单 > OpenVPN”中找到“OpenVPN Service Manager”，启动服务前需修改配置文件（通常位于 C:\Program Files\OpenVPN\config\server.ovpn）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

配置完成后,重启 OpenVPN 服务，注意检查 Windows 防火墙是否放行 UDP 1194 端口，同时确保路由器或云服务商安全组也开放该端口。

第三步是客户端配置,将上述生成的客户端证书（client.crt）、私钥（client.key）和 CA 证书（ca.crt）合并为一个 .ovpn 文件，并添加以下内容：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3

客户端可通过 OpenVPN GUI（Windows 客户端版）导入此文件，点击连接即可建立加密隧道。

至此,一套完整的 Windows Server + OpenVPN 远程访问架构已部署完毕，该方案不仅适用于中小企业，还可扩展为多用户认证（结合 LDAP 或 Radius），适合对安全性要求较高的业务场景，建议定期更新证书、监控日志、限制并发连接数以保障稳定运行。