两台虚拟机之间建立VPN连接的完整配置指南与实战解析

在现代网络架构中,虚拟化技术已成为企业IT基础设施的核心组成部分，尤其是在云环境、测试实验室或远程办公场景中，常常需要在两台虚拟机（VM）之间建立安全、稳定的通信通道，使用虚拟专用网络（VPN）是一种高效且灵活的解决方案，本文将详细讲解如何在两台虚拟机之间配置点对点的IPSec或OpenVPN隧道，确保数据加密传输，并提供完整的命令行操作步骤与常见问题排查方法。

我们需要明确一个前提：这两台虚拟机必须运行在同一物理主机或不同物理主机上，但能够通过局域网互通（即能ping通对方IP地址），假设我们使用的是Ubuntu 22.04 LTS系统，两台虚拟机分别命名为VM1和VM2，IP地址分别为192.168.1.10和192.168.1.20。

使用IPSec（强烈推荐用于高性能场景）
IPSec是内核级协议，性能高、延迟低，适合高频数据传输，我们可以借助StrongSwan工具实现。
步骤如下：

在两台虚拟机上安装StrongSwan：

sudo apt update && sudo apt install strongswan -y

编辑 /etc/ipsec.conf，添加如下内容（以VM1为例）：

conn vm-to-vm
    left=192.168.1.10
    right=192.168.1.20
    leftid=@vm1.example.com
    rightid=@vm2.example.com
    auto=start
    type=tunnel
    authby=secret
    keyexchange=ikev2
    ike=aes256-sha256-modp2048
    esp=aes256-sha256

创建密钥文件 /etc/ipsec.secrets，写入共享密钥：

@vm1.example.com @vm2.example.com : PSK "your_strong_pre_shared_key"

重启服务并启用自动启动：

sudo systemctl restart strongswan
sudo systemctl enable strongswan

使用OpenVPN（适合复杂网络拓扑）
如果需要更灵活的路由控制或跨公网部署，OpenVPN是更好的选择。

安装OpenVPN：
```
sudo apt install openvpn easy-rsa -y
```

使用Easy-RSA生成证书和密钥（需在VM1上执行）：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req vm1 nopass
./easyrsa sign-req server vm1
./easyrsa gen-req vm2 nopass
./easyrsa sign-req server vm2

配置服务器端（VM1）/etc/openvpn/server.conf，设置为静态IP分配模式，如：

mode server
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/vm1.crt
key /etc/openvpn/easy-rsa/pki/private/vm1.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"