选择VPN协议
常见协议及特点:
- OpenVPN
- 开源、高安全性,支持TCP/UDP,适合大多数场景。
- 配置稍复杂,需安装客户端。
- WireGuard
- 轻量级、高性能,现代加密(ChaCha20)。
- 配置简单,适合移动设备。
- IPSec/L2TP
兼容性强(内置支持iOS/Android),但速度较慢。
- SSTP
适合Windows,使用443端口绕过防火墙。
搭建步骤(以OpenVPN为例)
准备服务器
- 推荐系统:Ubuntu 20.04/22.04 或 CentOS 7/8。
- 最低配置:1核CPU,1GB内存,10GB硬盘(小型使用足够)。
- 确保服务器有公网IP(如AWS、DigitalOcean、Vultr等)。
安装OpenVPN
使用开源脚本快速部署(如openvpn-install):
wget https://git.io/vpn -O openvpn-install.sh chmod +x openvpn-install.sh sudo ./openvpn-install.sh
按提示选择:
- 协议:UDP(默认)或TCP(如遇防火墙问题)。
- 端口:默认1194(可改为443伪装HTTPS流量)。
- DNS:推荐Cloudflare(1.1.1.1)或Google(8.8.8.8)。
生成客户端配置
- 脚本会自动生成
.ovpn文件(如client.ovpn)。 - 下载到本地,用OpenVPN客户端导入。
其他VPN方案
WireGuard(更简易)
-
安装:
# Ubuntu/Debian sudo apt update && sudo apt install wireguard resolvconf
-
生成密钥:
wg genkey | sudo tee /etc/wireguard/private.key sudo cat /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key
-
配置服务端(
/etc/wireguard/wg0.conf):[Interface] PrivateKey = <服务器私钥> Address = 10.8.0.1/24 ListenPort = 51820 PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE [Peer] PublicKey = <客户端公钥> AllowedIPs = 10.8.0.2/32
防火墙设置
- 开放端口:
sudo ufw allow 1194/udp # OpenVPN sudo ufw allow 51820/udp # WireGuard
- 启用IP转发(用于流量中转):
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf sudo sysctl -p
客户端连接
- OpenVPN:下载官方客户端,导入
.ovpn文件。 - WireGuard:手机/电脑安装客户端,扫描配置二维码。
安全注意事项
- 禁用root登录:使用普通用户+SSH密钥登录。
- Fail2Ban防护:防暴力破解:
sudo apt install fail2ban
- 定期更新:
sudo apt update && sudo apt upgrade -y
- 日志监控:检查
/var/log/syslog或journalctl -u openvpn。
常见问题
- 连接失败:检查防火墙/安全组规则,确认端口开放。
- 速度慢:尝试更换协议(如WireGuard)或服务器地理位置。
- DNS泄露:在客户端配置中强制使用VPN的DNS。
替代方案(无需自建)
如果追求便捷,可考虑:
- Tailscale:基于WireGuard的零配置内网穿透。
- Outline:由Jigsaw开发的简易VPN(适合团队)。
根据需求选择协议和工具,小型个人使用推荐WireGuard,企业级可选OpenVPN,务必做好安全设置!









