或

VPS安装VPN完整指南：从环境准备到安全配置详解

在当今远程办公和跨境访问日益普遍的背景下,使用虚拟私人服务器（VPS）搭建个人或企业级VPN服务成为许多用户的选择，相比传统商用VPN服务，自建VPS VPN不仅成本更低、可控性更强，还能根据实际需求灵活定制协议、加密方式和网络策略，本文将详细讲解如何在Linux VPS上部署一个稳定、安全且高效的OpenVPN服务，涵盖系统环境准备、软件安装、配置文件编写、防火墙设置及客户端连接测试等全流程。

你需要拥有一台运行Linux操作系统的VPS,推荐使用Ubuntu 20.04或CentOS 7/8，登录你的VPS后，建议先更新系统包列表并升级现有软件：

sudo apt update && sudo apt upgrade -y   # Ubuntu/Debiansudo yum update -y                      # CentOS/RHEL

接下来安装OpenVPN及相关工具,以Ubuntu为例，执行以下命令：

sudo apt install openvpn easy-rsa -y

Easy-RSA是用于生成证书和密钥的工具，对建立PKI（公钥基础设施）至关重要，安装完成后，复制Easy-RSA模板到本地目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

然后编辑vars文件，修改如下参数（可根据需要调整）：

• KEY_COUNTRY="CN"
• KEY_PROVINCE="Beijing"
• KEY_CITY="Beijing"
• KEY_ORG="MyCompany"
• KEY_EMAIL="admin@example.com"

保存后,初始化证书颁发机构（CA）并生成服务器证书与密钥：

./clean-all
./build-ca
./build-key-server server
./build-key client1
./build-dh

上述步骤会依次创建CA根证书、服务器证书、客户端证书和Diffie-Hellman参数，这些文件将构成整个VPN通信的信任基础。

下一步是配置OpenVPN服务器主文件,创建 /etc/openvpn/server.conf 并添加如下内容：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

配置中启用了UDP协议（性能优于TCP）、私有子网分配、DNS自动推送以及TLS认证保护，特别注意push "redirect-gateway"这一行，它会使客户端流量全部通过VPN隧道，实现全局代理效果。

完成配置后,启用IP转发功能以支持NAT路由：

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p

接着配置iptables规则,允许流量转发并开放端口：

iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

最后启动OpenVPN服务：

systemctl enable openvpn@server
systemctl start openvpn@server

至此,服务器端已部署完毕，你还需要将客户端证书（client1.crt、client1.key、ca.crt）和ta.key打包成.ovpn配置文件，并导入至Windows、macOS或Android/iOS客户端即可连接。

通过以上步骤,你可以拥有一个完全自主控制、安全性高、性能稳定的个人VPN服务，满足远程办公、隐私保护或内容访问等多种场景需求，记住定期备份证书、更新系统补丁，并监控日志以确保长期稳定运行。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN