本文节选自：http://www.black-xstar.com/blog/693.html

SSH登陆VPS，我的系统是32的CentOS 5.4。
OpenVPN需要TUN支持，大多数VPS默认都没有开启，你可以用这个命令检测：cat /dev/net/tun
如果返回信息为：cat: /dev/net/tun: File descriptor in bad state 说明正常，否则发个ticket给VPS公司让他们帮忙开吧。
另外如果你需要连上OpenVPN后能访问互联网，还需要iptables_nat模块支持，用这个命令检测：iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE
如果返回信息为：iptables: Unknown error 4294967295 说明正常，否则同样需要发个ticket让VPS公司帮忙开通。

默认情况下centos的yum源没有OpenVPN的，先安装EPEL这个东西，使用命令：rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm
成功后yum源里面就有OpenVPN了，直接使用命令yum -y install openvpn

我们来找一下安装到哪去了，使用命令：locate easy-rsa
原来在这里：/usr/share/openvpn/easy-rsa 大家应该都是一样的。
我们把easy-rsa这个文件夹移出来，用命令：cp -R /usr/share/openvpn/easy-rsa /etc/openvpn/
然后cd /etc/openvpn/easy-rsa/2.0进入，生成OpenVPN需要的证书。
用vi vars来编辑环境变量，把最后几行根据实际情况修改：
export KEY_COUNTRY="CN"
export KEY_PROVINCE="CQ"
export KEY_CITY="CQ"
export KEY_ORG="www.in"
export KEY_EMAIL="admin@www.in"
保存后运行. vars设置生效。
接下来运行./build-ca创建证书颁发机构。
创建CA之后来生成服务器证书，输入./build-key-server server
服务器证书生成完了，我们来生成客户端证书，理论上每个OpenVPN用户都有独立的证书，我们先来生成一个试试。
输入命令：./build-key client1，这里的client1是客户端名称，如果第二个就是client2了。
最后生成Diffie Hellman参数：./build-dh，这个需要一点时间的。
完成上面的过程后，把/etc/openvpn/2.0/keys里面的东西下载回来。
接下来我们开始配置OpenVPN了，我的配置文件只是一个参考，可以根据实际情况修改。
首先cd ..回到上一级目录，然后vi server.conf新建一个配置文件，输入下面内容：
port 443
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3
其中DNS服务器地址可以换成主机商的，也可以和我一样用opendns。另外我用了tcp协议和443端口，是为了方便我在cmwap下使用。根据OpenVPN文档，最好使用udp协议。
到这里为止OpenVPN就配置好了，接下来我们设置外网访问。
输入vi /etc/sysctl.conf开始编辑，找到net.ipv4.ip_forward = 0改成net.ipv4.ip_forward = 1保存。然后执行sysctl -p这个命令。
输入iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source 1.2.3.4添加规则，注意最后1.2.3.4改成你的VPS的IP地址。 然后 保存下 service iptables save
完成后用/etc/init.d/iptables save保存iptables设置，然后/etc/init.d/iptables restart重新启动下。
把OpenVPN添加到开机启动，用vi /etc/rc.local进入编辑，在后面加入/usr/sbin/openvpn --config /etc/openvpn/server.conf &这一行。
需要在服务器上完成的操作到这里就结束了，输入openvpn --config /etc/openvpn/server.conf &启动。

和PPTP不一样，OpenVPN需要安装客户端才行，在http://www.openvpn.net/index.php/open-source/downloads.html下载最新版本的Windows Installer安装。
然后在下载回来keys文件夹里面找到ca.crt、client1.crt和client1.key这三个文件，放到C:\Program Files\OpenVPN\config里面。
同时在这里面新建一个名字为“client1.ovpn”的文本文件，输入下面内容：
client
dev tun
proto tcp
remote 1.2.3.4 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3
把第四行的1.2.3.4换成VPS的IP地址，然后保存。
在开始菜单里面找到OpenVPN GUI并运行，Vista和Win7下需要管理员身份运行。点Connect后等一下，是不是成功连上去了？

修复几点：

1.本人测试用443无法连接，估计是被HTTPD占用了,改为1194

2.用TCP无法连接，UDP测试成功

3. 用vi /etc/rc.local进入编辑。加入 /sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 1.2.3.4