VPN服务器搭建方案
-
选择VPN协议
- OpenVPN:开源、跨平台,支持SSL/TLS加密,配置灵活(推荐)。
- IPSec/L2TP:兼容性好(如移动设备),但配置复杂。
- WireGuard:高性能、轻量级,适合现代需求(Linux内核原生支持)。
-
部署步骤(以OpenVPN为例)
# Ubuntu/Debian 安装示例 sudo apt update sudo apt install openvpn easy-rsa cd /etc/openvpn/ sudo make-cadir my-vpn cd my-vpn sudo ./easyrsa init-pki sudo ./easyrsa build-ca # 创建CA证书 sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-dh # 生成Diffie-Hellman参数 sudo openvpn --genkey --secret ta.key # 生成TLS-auth密钥
- 配置文件模板:
/usr/share/doc/openvpn/examples/sample-config-files/server.conf
需修改ca.crt、server.crt、server.key等路径。
- 配置文件模板:
-
客户端配置
- 分发客户端配置文件(
.ovpn),包含证书、密钥和服务器地址。
- 分发客户端配置文件(
安全加固措施
-
防火墙规则
# 允许VPN端口(默认1194/UDP) sudo ufw allow 1194/udp sudo ufw enable
-
访问控制
- 限制VPN用户访问权限(如
iptables规则)。 - 使用双因素认证(如Google Authenticator)。
- 限制VPN用户访问权限(如
-
日志与监控
- 监控
/var/log/openvpn.log,启用fail2ban防暴力破解。
- 监控
高可用与优化
- 多服务器负载均衡:通过Nginx或HAProxy实现。
- 断线自动重连:客户端配置
keepalive 10 60。 - IPv6支持:若需IPv6,在配置中启用
proto udp6。
替代方案(快速部署)
- SoftEther VPN:图形化界面,支持多种协议。
- Tailscale:基于WireGuard,零配置(适合中小团队)。
常见问题排查
- 连接失败:检查端口开放、证书有效期、客户端/服务器时间同步。
- 速度慢:尝试更换协议(如WireGuard),或调整MTU值。
