作为一名资深网络工程师,我经常被问到:“如何用搬瓦工的VPS快速搭建一个稳定、安全的OpenVPN服务?”尤其是在国内访问受限日益加剧的背景下,自建VPN成为许多技术爱好者和远程办公用户的首选方案,本文将手把手带你完成从服务器初始化到客户端连接的全流程配置,确保你拥有一个高可用、易维护的私人网络环境。
你需要准备一台搬瓦工的VPS(推荐使用日本或美国节点,延迟较低且稳定性好),购买后登录SSH(建议使用密钥认证而非密码),执行以下基础操作:
-
系统更新与安全加固
sudo apt update && sudo apt upgrade -y sudo ufw enable sudo ufw allow ssh
禁用root远程登录,创建普通用户并赋予sudo权限,提高安全性。
-
安装OpenVPN与Easy-RSA
sudo apt install openvpn easy-rsa -y
Easy-RSA是生成证书和密钥的核心工具,我们通过它来构建PKI体系(公钥基础设施)。
-
生成CA证书和服务器证书
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa nano vars # 修改变量如KEY_COUNTRY=CN, KEY_PROVINCE=Beijing等 ./clean-all ./build-ca # 输入“myca”作为CA名称 ./build-key-server server # 服务器证书,回车默认 ./build-dh # Diffie-Hellman参数,耗时较长
这一步完成后,你会得到
ca.crt、server.crt、server.key和dh.pem等文件。 -
配置OpenVPN服务端
复制模板配置文件:cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ gzip -d /etc/openvpn/server.conf.gz nano /etc/openvpn/server.conf
关键修改项包括:
port 1194(可改为其他端口避开扫描)proto udpdev tunca ca.crt,cert server.crt,key server.keydh dh.pemserver 10.8.0.0 255.255.255.0(分配给客户端的IP段)- 添加
push "redirect-gateway def1 bypass-dhcp"让客户端流量走VPN隧道 - 启用
push "dhcp-option DNS 8.8.8.8"
-
启用IP转发与防火墙规则
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf sysctl -p iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
保存iptables规则(若使用ufw,需额外配置)。
-
启动服务并设置开机自启
systemctl enable openvpn@server systemctl start openvpn@server
-
生成客户端证书和配置文件
在/etc/openvpn/easy-rsa目录下执行:./build-key client1
将
ca.crt、client1.crt、client1.key和ta.key(需运行openvpn --genkey --secret ta.key)打包为.ovpn文件,供客户端导入。
你可以在Windows、macOS、Android或iOS设备上轻松连接,整个过程约需30分钟,完成后你将获得一个加密、匿名、不受限的私有网络通道——这正是现代数字生活中不可或缺的“数字盾牌”,合法合规使用是前提,切勿用于非法用途。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
