大家好，我是老张，一个干了10年网络安全的"老油条"。今天咱们聊点实用的——用Linux VPS自己搭建VPN。这玩意儿就像给你的网络流量穿隐身衣，既能保护隐私，又能解锁各种区域限制的内容（你懂的）。下面我会用最直白的语言，配合真实操作案例，带大家从零开始搞明白这件事。（文末有避坑指南！）

一、为什么建议自己搭VPN？比收费的强在哪？

去年我帮某上市公司做安全审计时发现，他们员工用的某知名付费VPN服务居然在偷偷记录用户浏览记录！这可不是个例。自己搭建VPN有三大优势：

1. 数据完全自主（没有中间商赚差价）

就像你自己家的保险箱，钥匙只有你拿着。我用AWS东京机房的VPS搭的VPN，所有流量加密后直接到服务器，连服务商都看不到内容。

2. 成本极低（一年不到100块）

以搬瓦工（Bandwagon）最便宜的VPS为例：

- 年费$49.99（约360元）

- 500GB月流量

- 足够5个人同时使用

3. 防封锁能力强

公共VPN的IP容易被识别封锁。去年给某外贸公司做的方案里，我们给每个销售配独立VPS，半年都没被目标网站封过。

二、准备工作（新手必看）

2.1 选购VPS的黄金法则

我在阿里云、AWS、DigitalOcean都部署过，总结出三个关键点：

- 地理位置选择：

想访问美国Netflix就选洛杉矶机房（实测延迟160ms），做跨境电商推荐新加坡节点（到国内速度最快）。

- 配置要求：

单人使用的话：

```markdown

1核CPU / 512MB内存 / 10GB硬盘 / 500GB流量

```

完全够用，我自己的博客服务器就是这个配置同时跑VPN+网站。

- 避坑提醒：

千万别买那些"无限流量"的廉价VPS！去年有个客户贪便宜买了家小厂商的套餐，结果IP被全网拉黑——原来前租户用它发垃圾邮件。

2.2 推荐三家我用过的稳定服务商

| 服务商 | 最低价格 | 特点 | 适合人群 |

|--------------|----------|--------------------------|------------------|

| Vultr | $5/月 | 按小时计费随时删机 | 需要频繁换IP的 |

| Linode | $5/月 | 网络质量顶尖 | 追求稳定性的 |

| Google Cloud | $300赠金 | 新用户白嫖一年 | 技术爱好者 |

（小技巧：Google Cloud注册时区域选"台湾"，可绕过国内信用卡验证）

三、实战搭建教程（Ubuntu系统为例）

这里我用最安全的WireGuard协议示范，比传统OpenVPN快3倍以上。全程SSH操作，跟着敲命令就行：

3.1 连接服务器

```bash

ssh root@你的服务器IP

```

3.2 一键安装脚本（已测试上百次）

wget https://git.io/wireguard -O wireguard-install.sh && bash wireguard-install.sh

运行后会让你输入：

- IPv4地址（直接回车自动检测）

- UDP端口号（建议改成非常用端口如51821）

- DNS服务器（选1用Cloudflare的1.1.1.1）

3.3 添加新用户

脚本会自动生成二维码和配置文件：

========================================

客户端配置文件路径：

/etc/wireguard/peer_张三.conf

二维码内容已保存到：

/etc/wireguard/peer_张三.png

把`.conf`文件下载到本地手机/电脑就能用了！安卓用WireGuard App扫码直接连接。

四、高级安全设置（企业级防护）

去年某金融公司被黑的案例告诉我们：光有VPN不够！必须做这些加固：

4.1 IP白名单控制

只允许中国IP访问SSH端口

iptables -A INPUT -p tcp --dport 22 -m geoip ! --src-cc CN -j DROP

4.2 DDOS防护基础配置

限制每分钟新连接数

iptables -A INPUT -p udp --dport 51821 -m connlimit --connlimit-above50 -j DROP

4.3 VPN流量伪装技巧（抗GFW检测）

把WireGuard端口伪装成HTTPS流量：

apt install nginx

vi /etc/nginx/sites-available/vpn-camouflage

加入以下内容：

```nginx

server {

listen443 ssl;

server_name yourdomain.com;

location / {

proxy_pass http://127.0.0.1:51821;

}

}

五、常见问题解决方案

Q：为什么连上VPN后网速变慢？

A：90%的情况是MTU值问题。在客户端配置里加上：

MTU=1280

立即提速50%以上！

Q：如何查看当前有多少设备在线？

A：执行命令：

wg show

输出示例：

peer: xxxx...xxxx

endpoint:203.0.113.101:51821

allowedips:10.7.0.2/32

latest handshake:12 seconds ago

transfer:15 MiB received,50 MiB sent

六、终极忠告

上个月帮一个客户做应急响应，发现他的VPS被当肉鸡挖矿——就因为用了弱密码！切记：

1️⃣ SSH密码必须16位以上含特殊符号

2️⃣每月执行`apt update && apt upgrade`更新补丁

3️⃣重要服务一定要配防火墙规则

如果这篇教程帮你省下了买VIP会员的钱，不妨点个赞～下期预告：《如何用CDN给VPN加速至200Mbps》