随着远程办公和移动办公的普及,越来越多用户希望通过安全、稳定的虚拟私人网络(VPN)访问内网资源或绕过地理限制,对于技术爱好者或中小型企业来说,在VPS(虚拟专用服务器)上自建一个私有VPN服务,不仅成本低、可控性强,还能满足手机端随时随地接入的需求,本文将详细介绍如何在VPS上搭建OpenVPN服务,并实现Android/iOS设备的无缝连接。
第一步:准备VPS环境
你需要一台性能稳定的VPS(推荐配置:2核CPU、2GB内存、50GB硬盘),操作系统建议使用Ubuntu 20.04 LTS或CentOS 7以上版本,登录VPS后,执行以下命令更新系统:
sudo apt update && sudo apt upgrade -y
第二步:安装OpenVPN与Easy-RSA
OpenVPN是开源且广泛支持的VPN协议,适合个人和小型团队使用,通过以下命令安装OpenVPN及相关工具:
sudo apt install openvpn easy-rsa -y
初始化证书颁发机构(CA):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,设置国家、省份、组织等信息,确保与你的实际身份一致,然后执行:
./easyrsa init-pki ./easyrsa build-ca ./easyrsa gen-req server nopass ./easyrsa sign-req server server ./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
这一步会生成服务器和客户端证书,后续用于身份验证。
第三步:配置OpenVPN服务
复制示例配置文件并修改:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/ nano /etc/openvpn/server.conf
关键配置项如下:
port 1194:默认UDP端口,可改为其他值如1195。proto udp:推荐使用UDP协议提升速度。dev tun:创建TUN虚拟接口。ca ca.crt、cert server.crt、key server.key:指定证书路径。dh dh.pem:生成Diffie-Hellman参数(运行./easyrsa gen-dh生成)。push "redirect-gateway def1 bypass-dhcp":强制客户端流量走VPN隧道。push "dhcp-option DNS 8.8.8.8":指定DNS服务器。
启动服务并设置开机自启:
systemctl enable openvpn@server systemctl start openvpn@server
第四步:手机端配置
手机连接时需下载OpenVPN客户端(Android可用OpenVPN Connect,iOS可用OpenVPN Connect或VyprVPN)。
导出服务器证书和客户端证书到手机(可通过邮件或云盘传输),在客户端中导入配置文件(.ovpn格式),内容包括:
client
dev tun
proto udp
remote your-vps-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1注意:ta.key是TLS密钥,可通过openvpn --genkey --secret ta.key生成并复制到客户端目录。
第五步:防火墙与NAT设置
确保VPS防火墙允许UDP 1194端口:
ufw allow 1194/udp
同时启用IP转发(在/etc/sysctl.conf中添加net.ipv4.ip_forward=1),并配置iptables规则:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
至此,你已成功在VPS上搭建了私有OpenVPN服务,并实现了手机端的稳定连接,相比商业VPN,这种方式更灵活、隐私性更强,尤其适合需要长期稳定连接的用户,请务必遵守当地法律法规,合理使用网络资源。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
