搬瓦工VPS上搭建VPN完整指南，从零开始实现安全上网

在当今数字化时代，网络隐私和数据安全已成为用户关注的核心问题，越来越多的人选择通过虚拟私人网络（VPN）来加密流量、绕过地域限制，并保护个人信息不被窃取，作为一位经验丰富的网络工程师，我将手把手教你如何在搬瓦工（Bandwagon Host）提供的VPS服务器上搭建一个稳定、安全的OpenVPN服务,让你轻松实现私密上网。

你需要准备以下资源：

1. 一台搬瓦工VPS（推荐使用日本或美国节点，延迟较低）；
2. 一个域名（可选，用于绑定证书，提升安全性）；
3. SSH客户端（如PuTTY或MobaXterm）；
4. 基础Linux命令操作能力。

第一步：登录VPS并更新系统
通过SSH连接到你的搬瓦工VPS,执行以下命令：

sudo apt update && sudo apt upgrade -y

第二步：安装OpenVPN和Easy-RSA
OpenVPN是开源且广泛使用的VPN协议，而Easy-RSA用于生成证书和密钥：

sudo apt install openvpn easy-rsa -y

第三步：配置PKI（公钥基础设施）
复制Easy-RSA模板到本地目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，修改以下参数以适应你的环境（例如组织名、国家等）：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="your@email.com"

运行初始化脚本并生成CA证书：

./easyrsa init-pki
./easyrsa build-ca

第四步：生成服务器证书和密钥

./easyrsa gen-req server nopass
./easyrsa sign-req server server

第五步：生成客户端证书（每台设备一个）

./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

第六步：生成Diffie-Hellman参数和TLS密钥

./easyrsa gen-dh
openvpn --genkey --secret ta.key

第七步：配置OpenVPN服务
复制配置文件模板：

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
gunzip /etc/openvpn/server.conf.gz

编辑 /etc/openvpn/server.conf 文件,关键配置如下：

• port 1194（默认端口）
• proto udp（推荐UDP,性能更好）
• dev tun
• ca /etc/openvpn/easy-rsa/pki/ca.crt
• cert /etc/openvpn/easy-rsa/pki/issued/server.crt
• key /etc/openvpn/easy-rsa/pki/private/server.key
• dh /etc/openvpn/easy-rsa/pki/dh.pem
• tls-auth ta.key 0

第八步：启用IP转发和防火墙规则
编辑 /etc/sysctl.conf,取消注释：

net.ipv4.ip_forward=1

然后应用更改：

sysctl -p

配置iptables规则：

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

第九步：启动服务并设置开机自启

systemctl enable openvpn@server
systemctl start openvpn@server

将客户端证书（client1.crt、client1.key、ca.crt、ta.key）打包成.ovpn文件,导入客户端软件即可使用。

这样，你就在搬瓦工VPS上成功搭建了一个私有、加密、稳定的OpenVPN服务，既保障了网络安全，又具备良好的扩展性，记住定期更新证书和补丁,确保长期安全运行。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速