自建VPN全流程指南:从VPS选购到WireGuard部署
6/19/2026 · 3 min
一、VPS选购要点
自建VPN的第一步是选择合适的VPS。建议优先考虑以下因素:
- 地理位置:选择离你物理位置较近的数据中心,以降低延迟。
- 带宽与流量:至少1Gbps端口和1TB月流量,确保视频流等大流量场景流畅。
- 网络质量:避免高峰时段拥堵严重的线路,可参考网络评测选择CN2 GIA或9929等优质线路。
- 价格与性价比:入门级配置(1核CPU、1GB内存、20GB SSD)即可满足WireGuard需求,月费约5-10美元。
二、操作系统与初始配置
推荐使用Ubuntu 22.04 LTS或Debian 11,稳定且社区支持完善。购买VPS后,通过SSH登录并执行基础安全配置:
- 更新系统包:
apt update && apt upgrade -y - 创建普通用户并禁用root SSH登录
- 配置防火墙(UFW):仅开放SSH(22端口)和WireGuard端口(如51820/UDP)
三、WireGuard部署与配置
WireGuard以其简洁高效著称。部署步骤如下:
- 安装WireGuard:
apt install wireguard -y - 生成密钥对:
wg genkey | tee privatekey | wg pubkey > publickey - 创建配置文件
/etc/wireguard/wg0.conf,示例内容:[Interface] Address = 10.0.0.1/24 PrivateKey = <服务器私钥> ListenPort = 51820 PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE - 启用IP转发:
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf && sysctl -p - 启动WireGuard:
systemctl enable wg-quick@wg0 && systemctl start wg-quick@wg0
四、客户端配置与连接
在客户端(Windows/macOS/Android/iOS)安装WireGuard客户端,创建新隧道并填入以下信息:
- 私钥:客户端生成的私钥
- 地址:10.0.0.2/24(与服务器同一子网)
- 对端:服务器公钥、服务器公网IP:51820、允许IP 0.0.0.0/0(全流量代理)
五、性能优化与安全加固
- MTU优化:将MTU设为1420(避免分片)
- DNS配置:使用1.1.1.1或8.8.8.8避免DNS泄露
- 定期更新:保持系统与WireGuard版本最新
- 监控与日志:使用
wg show查看连接状态,配置日志轮转
六、常见问题排查
- 连接失败:检查防火墙是否放行UDP 51820端口
- 速度慢:尝试更换VPS线路或调整MTU
- DNS泄露:在客户端配置文件中指定DNS服务器