首页 / VPN梯子 / 自建VPN教程，从零开始搭建安全私密的网络隧道（适合初学者）

自建VPN教程，从零开始搭建安全私密的网络隧道（适合初学者）

hk258369 2026-03-22 2 0

在当今数字时代,网络安全和隐私保护已成为每个互联网用户必须重视的问题，无论是远程办公、访问被限制的内容，还是避免公共Wi-Fi下的数据泄露，使用虚拟私人网络（VPN）都是一个高效且实用的解决方案，对于有一定技术基础的用户来说，自建一个属于自己的VPN不仅成本低廉，而且更可控、更安全，本文将详细介绍如何从零开始搭建一个基于OpenVPN的自建VPN服务，适合初学者逐步操作。

第一步：准备环境
你需要一台可以长期运行的服务器，推荐使用云服务商（如阿里云、腾讯云、AWS等）提供的Linux VPS（虚拟专用服务器），建议选择Ubuntu 20.04或22.04系统，因为它们社区支持广泛，文档丰富，确保服务器有公网IP地址，并开放必要的端口（默认OpenVPN使用UDP 1194端口）。

第二步：安装OpenVPN及相关工具
通过SSH连接到你的VPS后，执行以下命令更新系统并安装OpenVPN：

sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa -y

easy-rsa 是用于生成证书和密钥的工具，是OpenVPN身份验证的核心组件。

第三步：配置PKI（公钥基础设施）
首先复制EasyRSA模板到本地目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

然后编辑 vars 文件，设置你的国家、组织名称等信息（set_var EASYRSA_COUNTRY "CN"），这将用于生成证书时的身份标识。

接下来执行初始化和签发根证书：

./easyrsa init-pki
./easyrsa build-ca nopass

接着为服务器和客户端分别生成证书与密钥：

./easyrsa gen-req server nopass
./easyrsa sign-req server server
./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

注意：这里我们为客户端命名为client1，你也可以根据需要创建多个客户端证书。

第四步：配置OpenVPN服务器
复制示例配置文件并修改：

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
nano /etc/openvpn/server.conf

在配置文件中调整以下关键参数：

port 1194：指定端口号（可改为其他未被占用的UDP端口）
proto udp：使用UDP协议提高传输效率
dev tun：使用TUN设备模式（点对点隧道）
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem（需先生成：./easyrsa gen-dh）

第五步：启用IP转发和防火墙规则
在服务器上开启IP转发：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

配置iptables允许流量转发并开放端口：

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

第六步：启动服务并测试
启动OpenVPN服务：

systemctl enable openvpn@server
systemctl start openvpn@server

将生成的客户端配置文件（包括ca.crt、client1.crt、client1.key）打包成.ovpn文件，用文本编辑器打开，添加如下内容：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
verb 3

将此文件导入到你的电脑或手机上的OpenVPN客户端即可连接。

自建VPN虽然步骤稍多,但一旦成功部署，你可以完全掌控数据流向，避免第三方平台的数据收集风险，它还能作为家庭网络的扩展节点，实现远程访问NAS或监控摄像头等功能，如果你希望进一步提升安全性，可结合WireGuard（更快、更轻量）进行对比体验，合法合规地使用自建VPN，才能真正享受技术带来的便利与自由。

自建VPN教程，从零开始搭建安全私密的网络隧道（适合初学者）第1张