在当今数字化时代,网络安全和隐私保护已成为每个人不可忽视的问题,无论是远程办公、访问内网资源,还是绕过地理限制浏览内容,使用一个可靠的虚拟私人网络(VPN)服务都显得尤为重要,而借助云服务商提供的VPS(虚拟专用服务器),你可以低成本、高灵活性地搭建自己的专属VPN服务器,既安全又可控,本文将详细介绍如何在Linux系统(以Ubuntu 20.04为例)上部署OpenVPN服务,实现稳定、加密的远程连接。

第一步:准备环境
你需要一台已开通的VPS(推荐阿里云、腾讯云或DigitalOcean等平台),确保它具备公网IP地址,并且运行的是支持SSH登录的Linux发行版,登录VPS后,首先更新系统软件包:

sudo apt update && sudo apt upgrade -y

第二步:安装OpenVPN与Easy-RSA
OpenVPN是一个开源的SSL/TLS协议实现,广泛用于构建安全的点对点加密隧道,我们使用Easy-RSA工具来生成证书和密钥:

sudo apt install openvpn easy-rsa -y

第三步:配置证书颁发机构(CA)
复制Easy-RSA模板到本地目录并初始化:

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo cp vars.example vars

编辑vars文件,根据需要修改以下参数:

  • KEY_COUNTRY="CN"(国家)
  • KEY_PROVINCE="Beijing"(省份)
  • KEY_CITY="Beijing"(城市)
  • KEY_ORG="MyCompany"(组织名)
  • KEY_EMAIL="admin@example.com"(邮箱)

然后执行以下命令生成CA证书和私钥:

sudo ./clean-all
sudo ./build-ca

第四步:生成服务器证书和密钥
继续运行:

sudo ./build-key-server server

此命令会生成服务器证书和密钥文件(server.crt, server.key),同时创建Diffie-Hellman参数(用于密钥交换):

sudo ./build-dh

第五步:配置OpenVPN服务器
复制示例配置文件并进行修改:

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
sudo nano /etc/openvpn/server.conf

关键配置项如下(请按需调整):

  • port 1194(默认端口,可改为其他如443以便伪装为HTTPS流量)
  • proto udp(推荐UDP协议,延迟更低)
  • dev tun(创建TUN设备,适合点对点加密)
  • ca ca.crt
  • cert server.crt
  • key server.key
  • dh dh.pem
  • server 10.8.0.0 255.255.255.0(分配给客户端的IP段)
  • push "redirect-gateway def1 bypass-dhcp"(强制所有流量走VPN)
  • push "dhcp-option DNS 8.8.8.8"(指定DNS服务器)

第六步:启用IP转发与防火墙规则
允许VPS转发数据包:

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

配置iptables规则(假设你使用UFW):

sudo ufw allow 1194/udp
sudo ufw allow ssh
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i eth0 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

第七步:启动服务并测试
启动OpenVPN服务并设置开机自启:

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

现在你可以生成客户端配置文件(通过easy-rsabuild-key client1命令),并将client.ovpn文件分发给用户,客户端只需安装OpenVPN客户端软件(Windows/macOS/Linux均有官方版本),导入配置即可连接。


通过以上步骤,你可以在VPS上搭建一个功能完整的OpenVPN服务器,满足个人或小型团队的加密通信需求,相比第三方商用服务,自建更灵活、成本低,且完全掌握数据主权,也建议定期更新证书、加强密码策略,并结合Fail2ban等工具防止暴力破解,让你的VPN更加健壮可靠。

手把手教你搭建VPS上的VPN服务器,从零开始的稳定加密通信方案 第1张

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN