在当今互联网环境下,越来越多用户希望通过自建服务器实现稳定、安全的网络访问,搬瓦工(Bandwagon Host)作为一家广受好评的海外VPS服务商,以其性价比高、稳定性强和全球节点分布广泛而著称,本文将详细讲解如何在搬瓦工VPS上搭建一个基于OpenVPN的科学上网服务,适合有一定Linux基础的用户参考操作。
第一步:准备阶段
你需要拥有一个搬瓦工的VPS账号,并确保已通过SSH登录到你的服务器,推荐使用Ubuntu 20.04或CentOS 7系统,因为脚本兼容性更好,登录后执行以下命令更新系统软件包:
sudo apt update && sudo apt upgrade -y
第二步:安装OpenVPN和Easy-RSA
我们使用Easy-RSA来生成证书和密钥,这是OpenVPN身份认证的核心组件,运行以下命令:
sudo apt install openvpn easy-rsa -y
第三步:初始化PKI(公钥基础设施)
创建证书颁发机构(CA)和服务器证书,这一步非常关键:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,设置国家、组织名称等信息(可按需修改),然后执行:
./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server
第四步:生成客户端证书
每个需要连接的设备都需要一个独立的证书,例如为名为“client1”的设备生成:
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
第五步:生成Diffie-Hellman参数和TLS密钥
这些用于加密通信强度,提升安全性:
./easyrsa gen-dh openvpn --genkey --secret ta.key
第六步:配置OpenVPN服务端
复制模板配置文件并进行编辑:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ gunzip /etc/openvpn/server.conf.gz nano /etc/openvpn/server.conf
在配置文件中,根据你实际的IP地址和网段调整以下参数:
dev tunproto udpport 1194ca ca.crtcert server.crtkey server.keydh dh.pemtls-auth ta.key 0
第七步:启用IP转发与防火墙规则
编辑/etc/sysctl.conf,取消注释net.ipv4.ip_forward=1,并执行:
sysctl -p
配置iptables规则以允许流量转发:
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
第八步:启动OpenVPN服务
systemctl enable openvpn@server systemctl start openvpn@server
第九步:导出客户端配置文件
将服务器生成的ca.crt、ta.key、client1.crt和client1.key打包成.ovpn文件,即可在手机或电脑端导入使用。
至此,你已在搬瓦工VPS上成功搭建了一个安全可靠的OpenVPN服务,建议定期更新证书、监控日志、优化性能,以保障长期稳定运行,此方案适合个人使用,也具备一定扩展性,如结合WireGuard进一步优化延迟与带宽效率。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
