摘要： ...

如何在 Linux 上搭建 VPN 服务器？手把手教你轻松搞定

在网络安全和隐私保护日益重要的今天，搭建一个属于自己的 VPN 服务器成为了许多人的选择。Linux 系统以其稳定性和开源性，成为了搭建 VPN 服务器的理想平台。本文将详细介绍如何在 Linux 上搭建 VPN 服务器，让你轻松实现安全、私密的网络连接。

一、准备工作

在开始搭建之前，你需要准备以下几样东西：

1. 一台运行 Linux 的服务器：可以是云服务器，也可以是本地物理机。推荐使用 Ubuntu 或 CentOS 系统，因为它们有丰富的社区支持和文档资源。
2. 一个公网 IP 地址：如果你的服务器在局域网内，需要配置端口映射或使用内网穿透工具。
3. 域名（可选）：虽然 IP 地址可以直接使用，但绑定域名更方便记忆和管理。
4. 基本的 Linux 操作知识：如命令行操作、文件编辑等。

二、选择 VPN 协议

VPN 协议决定了数据传输的方式和安全性。常见的 VPN 协议有：

1. OpenVPN：开源、跨平台，支持多种加密算法，安全性高。
2. WireGuard：新兴协议，性能优异，配置简单，适合移动设备。
3. IPSec/L2TP：兼容性好，但配置复杂，安全性稍逊于 OpenVPN。

本文以 OpenVPN 为例，介绍搭建过程。

三、安装 OpenVPN

1. 更新系统
   首先，确保系统是最新的：

   sudo apt update && sudo apt upgrade -y

2. 安装 OpenVPN 和 Easy-RSA
   Easy-RSA 是一个用于管理证书的工具包：

   sudo apt install openvpn easy-rsa

3. 配置 Easy-RSA
   复制 Easy-RSA 模板到工作目录：

   mkdir ~/easy-rsa
   ln -s /usr/share/easy-rsa/* ~/easy-rsa/
   cd ~/easy-rsa

   初始化 PKI（公钥基础设施）：

   ./easyrsa init-pki

   生成 CA 证书：

   ./easyrsa build-ca

   生成服务器证书和密钥：

   ./easyrsa build-server-full server nopass

   生成客户端证书：

   ./easyrsa build-client-full client1 nopass

4. 配置 OpenVPN 服务器
   复制示例配置文件并编辑：

   sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
   sudo gzip -d /etc/openvpn/server.conf.gz
   sudo nano /etc/openvpn/server.conf

   修改以下关键配置：

   port 1194
   proto udp
   dev tun
   ca /home/yourusername/easy-rsa/pki/ca.crt
   cert /home/yourusername/easy-rsa/pki/issued/server.crt
   key /home/yourusername/easy-rsa/pki/private/server.key
   dh /home/yourusername/easy-rsa/pki/dh.pem
   server 10.8.0.0 255.255.255.0
   push "redirect-gateway def1 bypass-dhcp"
   push "dhcp-option DNS 8.8.8.8"
   push "dhcp-option DNS 8.8.4.4"
   keepalive 10 120
   cipher AES-256-CBC
   user nobody
   group nogroup
   persist-key
   persist-tun
   status /var/log/openvpn/openvpn-status.log
   log /var/log/openvpn/openvpn.log
   verb 3

5. 启动 OpenVPN 服务
   启动并设置开机自启：

   sudo systemctl start openvpn@server
   sudo systemctl enable openvpn@server

四、配置客户端

1. 生成客户端配置文件
   复制示例配置文件并编辑：

   cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client1.ovpn
   nano ~/client1.ovpn

   修改以下配置：

   client
   dev tun
   proto udp
   remote your_server_ip 1194
   resolv-retry infinite
   nobind
   persist-key
   persist-tun
   ca ca.crt
   cert client1.crt
   key client1.key
   remote-cert-tls server
   cipher AES-256-CBC
   verb 3

2. 下载配置文件
   将 client1.ovpn、ca.crt、client1.crt 和 client1.key 文件下载到客户端设备。

3. 连接 VPN
   使用 OpenVPN 客户端导入配置文件并连接。

五、优化与安全

1. 防火墙配置
   允许 OpenVPN 端口通过防火墙：

   sudo ufw allow 1194/udp
   sudo ufw enable

2. 启用 TLS 加密
   在 server.conf 中添加：

   tls-auth /home/yourusername/easy-rsa/pki/ta.key 0

3. 限制用户访问
   使用 client-config-dir 功能为不同用户分配不同的 IP 地址和权限。

六、总结

通过以上步骤，你已经在 Linux 上成功搭建了一个 OpenVPN 服务器。无论是保护隐私还是访问受限资源，这个 VPN 服务器都能满足你的需求。如果你对性能有更高要求，可以尝试 WireGuard，它的配置更加简单，速度也更快。

搭建 VPN 服务器虽然需要一定的技术基础，但只要按照步骤操作，相信你也能轻松完成。希望本文能为你提供实用的帮助，让你在网络世界中更加自由和安全！