大家好，我是网络安全领域的从业者，今天给大家分享一个非常实用的技术教程——如何在VPS上搭建Linux VPN服务器。

VPN（Virtual Private Network，虚拟专用网络）可以让你安全地访问互联网，绕过地域限制，保护隐私。而VPS（Virtual Private Server，虚拟专用服务器）则是运行VPN的理想选择，因为它稳定、可控且价格不贵。

本文将从零开始，手把手教你用Linux系统搭建自己的VPN服务器，适合新手操作。我会尽量用大白话解释每一步，让你轻松上手！

---

1. 为什么要在VPS上搭建VPN？

在开始之前，我们先聊聊为什么推荐用VPS搭建VPN：

✅ 隐私保护：公共WiFi容易被黑客监听，VPN可以加密你的流量。

✅ 突破地域限制：比如访问Netflix、YouTube等被屏蔽的网站。

✅ 企业远程办公：员工可以安全访问公司内网资源。

✅ 低成本可控：自己搭建比购买商业VPN更便宜，且不会被封IP。

市面上有很多现成的VPN服务（如ExpressVPN、NordVPN），但它们可能记录你的日志或限制带宽。而自己搭建的VPN完全由你掌控！

2. 准备工作

在动手之前，你需要准备以下东西：

(1) 一台VPS

推荐选择国外的VPS提供商（如DigitalOcean、Linode、Vultr），因为国内服务器可能无法访问某些网站。

- 操作系统：Ubuntu 20.04/22.04 或 CentOS 7/8（本文以Ubuntu为例）。

- 最低配置：1核CPU、1GB内存、25GB硬盘就够用了（月费约5美元）。

(2) SSH工具

你需要用SSH连接VPS进行操作。Windows用户可以用[PuTTY](https://www.putty.org/)，Mac/Linux用户直接用终端（Terminal）。

(3) 域名（可选）

如果你想让VPN更稳定（避免IP被封），可以绑定一个域名并配置DDNS（动态DNS）。不过这一步不是必须的。

3. 安装和配置VPN服务器

目前最流行的VPN协议是WireGuard和OpenVPN。WireGuard更快更轻量，适合个人使用；OpenVPN更成熟稳定，适合企业场景。今天我们以WireGuard为例讲解。

(1) 连接VPS

打开终端（或PuTTY），输入：

```bash

ssh root@你的VPS_IP地址

```

输入密码后进入服务器。

(2) 更新系统

先确保系统是最新的：

sudo apt update && sudo apt upgrade -y

(3) 安装WireGuard

WireGuard已经内置在Linux内核中，安装很简单：

sudo apt install wireguard -y

(4) 生成密钥对

WireGuard使用公钥/私钥加密通信。运行以下命令生成密钥：

wg genkey | sudo tee /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key

这会生成两个文件：

- `/etc/wireguard/private.key`（私钥，不能泄露！）

- `/etc/wireguard/public.key`（公钥）

查看私钥和公钥：

sudo cat /etc/wireguard/private.key

sudo cat /etc/wireguard/public.key

(5) 配置WireGuard服务器

创建配置文件`wg0.conf`：

sudo nano /etc/wireguard/wg0.conf

粘贴以下内容（替换`<你的私钥>`）：

[Interface]

PrivateKey = <你的私钥>

Address = 10.0.0.1/24

ListenPort = 51820

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]

PublicKey = <客户端公钥>

AllowedIPs = 10.0.0.2/32

保存退出（`Ctrl+X` → `Y` → `Enter`）。

(6) 启动WireGuard

启用并启动服务：

sudo systemctl enable wg-quick@wg0

sudo systemctl start wg-quick@wg0

检查状态：

sudo systemctl status wg-quick@wg0

如果看到`active (running)`就说明成功了！

4. 配置客户端连接

现在我们需要在手机/电脑上安装WireGuard客户端并连接服务器。

(1) Windows/Mac客户端

去官网下载：[https://www.wireguard.com/install/](https://www.wireguard.com/install/)

(2) Android/iOS客户端

在应用商店搜索“WireGuard”并安装。

(3) 生成客户端配置

回到VPS上，创建一个客户端配置文件：

nano /etc/wireguard/client.conf

填入以下内容：

PrivateKey = <客户端私钥>

Address = 10.0.0.2/24

PublicKey = <服务器公钥>

Endpoint = <你的VPS_IP>:51820

AllowedIPs = 0.0.0.0/0, ::/0

允许所有流量走VPN

PersistentKeepalive = 25

保持连接活跃

把这个配置文件导入到手机或电脑上的WireGuard客户端即可连接！

5. VPN优化技巧

为了让你的VPN更快更稳定，可以做以下优化：

🔹 开启BBR加速（提升网速）：

echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf

echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf

sysctl -p

🔹 更换端口防封锁：把默认的51820改成443或80（伪装成HTTPS流量）。

🔹 使用域名+DDNS：避免IP被封后无法连接。

6. FAQ常见问题解答

❓ Q: WireGuard和OpenVPN哪个更好？

A: WireGuard更快更轻量，适合个人；OpenVPN兼容性更好，适合企业复杂环境。

❓ Q: VPS被墙了怎么办？

A: (1)换IP；(2)换端口；(3)用域名+CDN隐藏真实IP。

❓ Q: VPN会被检测到吗？

A: WireGuard流量特征较明显，建议配合混淆插件（如udp2raw）。

7. 总结

今天我们从零开始讲解了如何在Linux VPS上搭建WireGuard VPN服务器。相比商业VPN，自建方案更灵活、更便宜、隐私性更强！如果你遇到问题欢迎留言讨论～

💡 下一步建议:

- [ ] 尝试OpenVPN部署（适合企业级需求）

- [ ] 学习iptables防火墙规则优化

- [ ] 研究如何用CDN隐藏真实服务器IP

希望这篇教程对你有帮助！如果觉得不错请点赞收藏🌟支持一下～