- OpenVPN
- 兼容性强,支持TCP/UDP,适合大多数场景。
- 配置稍复杂,需生成证书。
- WireGuard
- 高性能,轻量级,配置简单(推荐新手)。
- 使用现代加密协议,连接更快。
- IPSec/L2TP
内置支持(如iOS/Android),但配置复杂,可能被防火墙拦截。
搭建WireGuard VPN服务器(推荐)
环境准备
- 一台云服务器(如AWS、DigitalOcean、阿里云,建议选择Ubuntu/Debian系统)。
- 确保服务器防火墙开放UDP端口
51820(或自定义端口)。
安装步骤
-
安装WireGuard
sudo apt update && sudo apt install wireguard -y
-
生成密钥对
umask 077 # 设置权限 wg genkey | tee privatekey | wg pubkey > publickey
-
配置服务器端(
/etc/wireguard/wg0.conf)[Interface] Address = 10.0.0.1/24 # 服务器虚拟IP PrivateKey = <服务器私钥(privatekey文件内容)> ListenPort = 51820 # 监听端口 [Peer] PublicKey = <客户端公钥> AllowedIPs = 10.0.0.2/32 # 客户端虚拟IP
-
启动WireGuard
sudo systemctl enable wg-quick@wg0 sudo systemctl start wg-quick@wg0
-
配置客户端
-
客户端需安装WireGuard(Windows/macOS/Android/iOS均有官方应用)。
-
创建客户端配置文件示例:
[Interface] PrivateKey = <客户端私钥> Address = 10.0.0.2/24 [Peer] PublicKey = <服务器公钥> Endpoint = <服务器公网IP>:51820 AllowedIPs = 0.0.0.0/0 # 全局流量走VPN PersistentKeepalive = 25
-
搭建OpenVPN服务器
快速安装(使用脚本)
-
下载开源脚本:
wget https://git.io/vpn -O openvpn-install.sh && sudo bash openvpn-install.sh
- 按提示选择参数(端口默认1194,协议建议UDP)。
- 脚本会自动生成客户端配置文件(
.ovpn文件)。
-
分发客户端配置
- 将生成的
.ovpn文件下载到本地,用OpenVPN客户端导入。
- 将生成的
关键注意事项
-
防火墙设置
- 开放VPN端口(如UDP 51820或1194):
sudo ufw allow 51820/udp
- 开放VPN端口(如UDP 51820或1194):
-
IP转发启用
- 编辑
/etc/sysctl.conf,取消注释:net.ipv4.ip_forward=1
- 生效配置:
sudo sysctl -p
- 编辑
-
安全性
- 限制VPN端口访问:仅允许信任IP。
- 定期更新VPN软件:
sudo apt upgrade wireguard openvpn。
-
多设备支持
- WireGuard:为每个设备创建独立的Peer段。
- OpenVPN:脚本默认支持多用户,或手动编辑
server.conf。
客户端连接测试
- 导入配置文件后启动VPN。
- 检查IP是否变更:访问 ipinfo.io。
- 测试网络连通性:
ping 10.0.0.1(服务器内网IP)。
常见问题
- 连接失败:检查防火墙/安全组规则,确认端口开放。
- 速度慢:尝试更换协议(如WireGuard改用UDP),或选择离用户更近的服务器。
- DNS泄漏:在客户端配置中指定DNS(如
8.8.8)。
进阶选项
- 双栈支持(IPv6):在配置中添加IPv6地址。
- 流量控制:使用
iptables/nftables限制带宽或访问权限。
如需更详细的配置(如证书管理、日志调试),可参考官方文档:WireGuard、OpenVPN。



