自建VPN全指南：从服务器配置到客户端连接的技术详解

一、服务器选择与初始配置

自建VPN的第一步是选择合适的云服务器或VPS。推荐选择位于网络限制较少地区的服务商，如日本、新加坡或美国西海岸。建议配置至少1核CPU、1GB内存和10GB SSD硬盘，带宽不低于100Mbps。操作系统推荐Ubuntu 22.04 LTS或Debian 11，两者均提供长期支持且社区文档丰富。

购买服务器后，通过SSH登录并执行系统更新：

sudo apt update && sudo apt upgrade -y

同时建议开启防火墙（UFW）并仅开放必要端口（如SSH 22端口）。

二、VPN协议选择与对比

主流自建VPN协议包括：

• WireGuard：新一代协议，代码量少、性能高、配置简单，推荐首选。
• OpenVPN：成熟稳定，支持多种加密方式，但配置较复杂。
• IPsec/IKEv2：原生支持移动设备，但部署门槛较高。

对于大多数用户，WireGuard在速度和易用性上优势明显。以下以WireGuard为例进行配置。

三、WireGuard服务端安装与配置

在Ubuntu服务器上安装WireGuard：

sudo apt install wireguard -y

生成服务端密钥对：

wg genkey | sudo tee /etc/wireguard/server.key
sudo chmod 600 /etc/wireguard/server.key
sudo cat /etc/wireguard/server.key | wg pubkey | sudo tee /etc/wireguard/server.pub

创建配置文件/etc/wireguard/wg0.conf：

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <服务器私钥>
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

启用IP转发：

sudo sysctl -w net.ipv4.ip_forward=1
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf

启动服务：

sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

四、客户端配置与连接

为每个客户端生成密钥对，并创建客户端配置文件（如client.conf）：

[Interface]
PrivateKey = <客户端私钥>
Address = 10.0.0.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = <服务器公钥>
Endpoint = <服务器公网IP>:51820
AllowedIPs = 0.0.0.0/0

将客户端配置文件导入WireGuard客户端（Windows、macOS、iOS、Android均支持），即可建立连接。

五、安全加固与维护

• 定期更新系统及WireGuard版本。
• 使用强密钥并限制客户端数量。
• 配置防火墙仅允许特定IP段访问VPN端口。
• 开启日志审计并监控异常流量。
• 考虑使用Fail2ban防止暴力破解。

通过以上步骤，您可以快速搭建一个安全、高速的自建VPN，完全掌控数据传输路径。