作为一名网络工程师,我经常被问到如何利用搬瓦工(Bandwagon Host)提供的廉价 VPS(虚拟专用服务器)来搭建稳定、安全的 OpenVPN 网络,搬瓦工以其高性价比、全球多地节点和良好的稳定性,成为许多用户选择的首选 VPS 服务商,本文将详细介绍如何在搬瓦工 VPS 上部署 OpenVPN,帮助你打造属于自己的私有翻墙通道。
第一步:准备阶段
你需要一个已购买并激活的搬瓦工 VPS(推荐使用日本或美国节点,延迟较低),登录搬瓦工官网,获取你的 VPS 的 IP 地址、root 用户名和密码(首次登录需用 SSH 密钥或密码认证),建议使用 Xshell、MobaXterm 或 PuTTY 这类 SSH 客户端连接服务器。
第二步:更新系统并安装必要工具
登录后执行以下命令:
apt update && apt upgrade -y apt install -y unzip wget gnupg2
确保系统是最新的,并安装 OpenVPN 所需的基础软件包。
第三步:下载并运行 OpenVPN Easy-RSA 脚本
我们使用开源的 OpenVPN Easy-RSA 工具来生成证书和密钥,这是 OpenVPN 安全通信的核心,运行以下命令:
wget https://github.com/OpenVPN/easy-rsa/archive/master.zip unzip master.zip cd easy-rsa-master/ cp -r easy-rsa /etc/openvpn/
第四步:配置证书颁发机构(CA)和服务器证书
进入 /etc/openvpn/easy-rsa/ 目录,编辑 vars 文件,设置你的国家、组织等信息(如 CN=YourName, C=CN, ST=Beijing, O=MyCompany):
nano vars
然后执行初始化和生成 CA:
./easyrsa init-pki ./easyrsa build-ca
接着生成服务器证书和密钥:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
第五步:生成客户端证书(可为多个设备生成)
如果要给手机或电脑使用,可以为每个设备单独生成证书:
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
记得保存好客户端的 .crt 和 .key 文件,这些是客户端连接时的身份凭证。
第六步:生成 Diffie-Hellman 参数和 TLS 密钥
./easyrsa gen-dh openvpn --genkey --secret ta.key
第七步:配置 OpenVPN 服务端
创建主配置文件 /etc/openvpn/server.conf:
nano /etc/openvpn/server.conf ```如下(可根据需要调整端口、协议、IP 段):
port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/pki/ca.crt cert /etc/openvpn/easy-rsa/pki/issued/server.crt key /etc/openvpn/easy-rsa/pki/private/server.key dh /etc/openvpn/easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 tls-auth /etc/openvpn/ta.key 0 cipher AES-256-CBC auth SHA256 user nobody group nogroup persist-key persist-tun status /var/log/openvpn-status.log verb 3
第八步:启用 IP 转发与防火墙规则
编辑 `/etc/sysctl.conf`,取消注释:net.ipv4.ip_forward=1
应用更改:
```bash
sysctl -p配置 iptables:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT
保存规则(Ubuntu 可用 iptables-save > /etc/iptables/rules.v4)。
第九步:启动 OpenVPN 并设置开机自启
systemctl start openvpn@server systemctl enable openvpn@server
最后一步:导出客户端配置文件
将服务器的 ca.crt、ta.key、client1.crt 和 client1.key 合并成一个 .ovpn 文件,用 OpenVPN 客户端导入即可连接。
通过以上步骤,你就可以在搬瓦工 VPS 上搭建一个加密、稳定、可多设备使用的 OpenVPN 翻墙网络,整个过程无需额外付费,仅依赖搬瓦工的 VPS 成本,是性价比极高的解决方案,记住定期更新证书和补丁,确保网络安全!
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
