手把手教你搭建个人服务器VPN，从零开始的安全网络通道

作为一名网络工程师,我经常被问到：“我怎么在自己的服务器上搭建一个VPN？”这不仅是为了远程访问家里的NAS或打印机，更是为了保护隐私、绕过地域限制，或者安全地连接到公司内网，我就带你一步步用开源工具在Linux服务器上搭建一个稳定、安全的OpenVPN服务。

你需要一台可公网访问的服务器,比如阿里云、腾讯云、AWS或你自建的树莓派，确保它运行的是Ubuntu 20.04或更高版本（推荐使用LTS长期支持版），登录服务器后，先更新系统：

sudo apt update && sudo apt upgrade -y

接着安装OpenVPN和Easy-RSA（用于证书管理）：

sudo apt install openvpn easy-rsa -y

接下来配置证书颁发机构（CA），这是所有客户端连接的基础，我们用Easy-RSA生成证书：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

这里会提示输入“Common Name”，建议设为你的域名或服务器名称，myserver.local”。

然后生成服务器证书和密钥：

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

再生成客户端证书（每个用户都要一个）：

sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

我们生成Diffie-Hellman参数（增强加密强度）：

sudo ./easyrsa gen-dh

下一步是配置OpenVPN服务端文件,复制模板并编辑：

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
sudo nano /etc/openvpn/server.conf

关键配置项如下（根据实际情况调整）：

• port 1194：默认端口，也可改为你喜欢的。
• proto udp：UDP更快，适合大多数场景。
• dev tun：使用虚拟隧道接口。
• ca /etc/openvpn/easy-rsa/pki/ca.crt
• cert /etc/openvpn/easy-rsa/pki/issued/server.crt
• key /etc/openvpn/easy-rsa/pki/private/server.key
• dh /etc/openvpn/easy-rsa/pki/dh.pem
• server 10.8.0.0 255.255.255.0：分配给客户端的IP段。
• push "redirect-gateway def1 bypass-dhcp"：让客户端流量走VPN。
• push "dhcp-option DNS 8.8.8.8"：指定DNS服务器。

保存后,启用IP转发（允许服务器转发数据包）：

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

配置防火墙（UFW）放行端口：

sudo ufw allow 1194/udp
sudo ufw allow OpenSSH
sudo ufw enable

最后启动OpenVPN服务：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

你就可以把客户端证书（client1.crt、client1.key、ca.crt）打包成.ovpn文件，用OpenVPN客户端连接了，记得在客户端配置中添加remote your-server-ip 1194。

这样,你就拥有了一个完全私有的、加密的远程访问通道！注意定期备份证书，避免因证书过期导致连接中断，如果你需要多用户，只需重复生成客户端证书即可。

安全第一！不要暴露VPN端口到公网，建议使用SSH隧道或结合Fail2Ban防暴力破解，搭建完成后，你可以安心远程办公、访问内网资源，甚至在国外也能“回家”——这才是现代网络工程师的底气所在！

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速