在2017年,随着网络安全意识的增强和全球互联网监管趋严,越来越多用户希望通过虚拟私人网络(VPN)来保护隐私、绕过地域限制或远程访问内网资源,而使用VPS(Virtual Private Server)搭建个人VPN服务,是一种既经济又灵活的方式,本文将为你详细介绍如何在2017年使用一台Linux VPS(如Ubuntu 16.04)搭建一个稳定、安全的OpenVPN服务,无需复杂工具,适合初学者与中级用户操作。
第一步:准备阶段
你需要一台可用的VPS,推荐选择支持SSH登录的Linux系统(如DigitalOcean、Linode、Vultr等服务商),确保你已获取VPS的公网IP地址、root账户密码或SSH密钥,建议使用Ubuntu 16.04 LTS版本,因其稳定性高且社区支持广泛。
第二步:更新系统并安装OpenVPN
通过SSH连接到你的VPS,执行以下命令:
sudo apt update && sudo apt upgrade -y sudo apt install openvpn easy-rsa -y
easy-rsa是用于生成SSL/TLS证书的工具包,是OpenVPN认证机制的核心。
第三步:配置PKI证书系统
复制EasyRSA模板到默认目录,并初始化证书颁发机构(CA):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件,设置国家、组织名称等基本信息(可按需修改),然后执行:
source vars ./clean-all ./build-ca
这会创建一个名为 ca.crt 的根证书文件,用于后续所有客户端和服务端的加密通信。
第四步:生成服务器证书和密钥
运行:
./build-key-server server
接着生成客户端证书(每个客户端都需要一个独立证书):
./build-key client1
最后生成Diffie-Hellman参数(用于密钥交换):
./build-dh
第五步:配置OpenVPN服务器
复制示例配置文件到主目录:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
编辑 /etc/openvpn/server.conf,关键配置如下:
port 1194:指定OpenVPN监听端口(建议改为非默认端口以避免扫描攻击)proto udp:使用UDP协议提升性能dev tun:使用TUN设备模式(点对点隧道)ca ca.crt、cert server.crt、key server.key:指定证书路径dh dh.pem:指定Diffie-Hellman参数server 10.8.0.0 255.255.255.0:分配给客户端的IP段push "redirect-gateway def1 bypass-dhcp":让客户端流量走VPNpush "dhcp-option DNS 8.8.8.8":指定DNS服务器
第六步:启动并启用服务
保存配置后,重启OpenVPN服务:
systemctl start openvpn@server systemctl enable openvpn@server
第七步:防火墙设置
若启用了UFW(Ubuntu防火墙),开放UDP 1194端口:
ufw allow 1194/udp
第八步:客户端配置
将服务器生成的 ca.crt、client1.crt、client1.key 和 dh.pem 复制到本地电脑,创建一个 .ovpn 配置文件,内容包含服务器IP、端口、证书路径等信息。
完成后,导入该文件到OpenVPN客户端即可连接。
2017年,这种基于OpenVPN+EasyRSA的方案已被广泛验证,安全性高、扩展性强,尽管如今已有更便捷的图形化工具(如WireGuard),但掌握传统OpenVPN的原理仍有助于理解网络层加密机制,如果你希望拥有一个专属、私密、可控的网络通道,这套方法依然值得学习和实践。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
