作为一名网络工程师,我经常被问到:“如何用搬瓦工的VPS快速搭建一个稳定、安全的OpenVPN服务?” 搬瓦工(Bandwagon Host)是一家广受好评的海外VPS提供商,以其高性价比、良好的网络性能和稳定的服务器环境著称,本文将手把手教你如何在搬瓦工VPS上配置OpenVPN,实现远程安全访问内网资源或绕过地理限制。
第一步:准备阶段
你需要一台已开通的搬瓦工VPS(推荐使用Linux系统如Ubuntu 20.04或Debian 10),并确保你已通过SSH登录,建议使用Root账户操作,若你使用普通用户,请添加sudo权限。
第二步:安装OpenVPN与Easy-RSA
运行以下命令更新系统并安装必要软件包:
apt update && apt upgrade -y apt install openvpn easy-rsa -y
Easy-RSA用于生成证书和密钥,是OpenVPN认证体系的核心组件。
第三步:配置证书颁发机构(CA)
进入Easy-RSA目录并初始化PKI:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,修改默认参数(如国家、组织名等):
nano vars
然后执行:
./clean-all ./build-ca
系统会提示输入Common Name(如“CA”),这将成为你的根证书名称。
第四步:生成服务器证书和密钥
继续执行:
./build-key-server server
再次输入Common Name(如“server”),并确认是否签名(yes),完成后会生成server.crt和server.key。
第五步:生成Diffie-Hellman密钥
这是增强加密强度的重要步骤:
./build-dh
第六步:配置OpenVPN服务端
复制示例配置文件:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
编辑配置文件:
nano /etc/openvpn/server.conf
关键配置项如下(可根据需要调整):
port 1194(可改为其他端口)proto udpdev tunca ca.crtcert server.crtkey server.keydh dh.pemserver 10.8.0.0 255.255.255.0push "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 8.8.8.8"
第七步:启用IP转发与防火墙规则
开启IP转发:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
配置iptables规则(允许流量转发):
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
保存规则(不同发行版命令略有差异):
iptables-save > /etc/iptables/rules.v4
第八步:启动OpenVPN服务
设置开机自启并启动:
systemctl enable openvpn@server systemctl start openvpn@server
第九步:生成客户端证书
回到Easy-RSA目录,为每个客户端生成证书:
./build-key client1
然后将以下文件打包给客户端:
- ca.crt
- client1.crt
- client1.key
- ca.crt(重复)
第十步:测试连接
在Windows/macOS/Linux上使用OpenVPN客户端导入配置文件(.ovpn格式),即可连接成功。
通过以上步骤,你已在搬瓦工VPS上成功部署了一个安全、稳定的OpenVPN服务,此方案适用于个人隐私保护、远程办公、访问受限网站等多种场景,建议定期更新证书、监控日志,并结合fail2ban等工具加强防护,合法合规使用是前提,切勿用于非法用途。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
