在现代网络架构中，虚拟化技术已成为企业IT基础设施的核心组成部分，无论是开发测试环境、远程办公部署，还是私有云搭建，虚拟机（VM）之间的安全通信需求日益增长，通过虚拟专用网络（VPN）实现两台虚拟机间的加密通信，是保障数据传输安全和隐私的重要手段，本文将详细介绍如何在两台虚拟机之间配置点对点（P2P）OpenVPN连接，适用于Windows、Linux或跨平台虚拟化环境（如VMware、VirtualBox、Proxmox等）。

准备工作至关重要，确保两台虚拟机运行在同一物理主机或不同主机但能互相访问（如通过局域网IP），推荐使用Linux系统作为服务器端（例如Ubuntu 22.04），因为其开源特性更利于自定义配置；客户端可为任意支持OpenVPN的系统（如Windows 10/11、macOS、Android），每台虚拟机需分配静态IP地址,避免DHCP导致IP变动引发连接失败。

接下来安装并配置OpenVPN服务端，以Ubuntu为例,执行以下命令：

sudo apt update && sudo apt install openvpn easy-rsa -y

然后生成证书和密钥（CA、服务器证书、客户端证书），这是整个VPN体系的信任基础，使用easy-rsa工具初始化PKI目录，并创建服务器和客户端证书，这一步务必严格保护私钥文件（如server.key）,防止泄露造成安全风险。

完成证书生成后，编辑/etc/openvpn/server.conf文件,设置关键参数：

• dev tun：指定使用TUN模式（三层隧道）
• proto udp：选择UDP协议提升性能（也可用TCP）
• port 1194：默认端口，可自定义
• ca ca.crt, cert server.crt, key server.key：引用刚生成的证书
• dh dh.pem：Diffie-Hellman参数文件（需提前生成）
• server 10.8.0.0 255.255.255.0：分配给客户端的虚拟IP段
• push "redirect-gateway def1 bypass-dhcp"：强制客户端流量经由VPN路由（可选）

启动服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

客户端配置同样重要，将服务端生成的ca.crt、client.crt、client.key复制到客户端虚拟机，并创建client.ovpn配置文件,内容包括：

client
dev tun
proto udp
remote [服务器IP] 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key

在客户端启动OpenVPN客户端程序（如Windows上使用OpenVPN GUI），连接后即可看到虚拟接口（如tun0），并能ping通服务端的10.8.0.x地址，两台虚拟机已形成加密隧道，任何应用层数据（如HTTP、SSH）均通过该隧道传输，实现“透明加密”。

此方案优势明显：无需公网IP、成本低、安全性高，适合用于隔离测试环境、跨地域研发协作等场景，若需扩展多客户端，可添加更多客户端证书并调整服务端配置，掌握两台虚拟机间VPN配置，是网络工程师必备技能之一，它不仅提升了虚拟环境的安全性,也为后续构建复杂网络拓扑奠定基础。