常见自建VPN方案
WireGuard(推荐)
-
特点:轻量级、高性能、现代加密。
-
步骤:
-
服务器安装(以Ubuntu为例):
sudo apt update && sudo apt install wireguard wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
-
配置服务端
/etc/wireguard/wg0.conf:[Interface] PrivateKey = <服务器私钥> Address = 10.0.0.1/24 ListenPort = 51820 PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE [Peer] PublicKey = <客户端公钥> AllowedIPs = 10.0.0.2/32
-
启动WireGuard:
sudo systemctl enable --now wg-quick@wg0
-
客户端配置(导出为
.conf文件供客户端使用)。
-
-
优点:速度快,适合移动设备。
-
缺点:需要手动管理密钥。
OpenVPN
- 特点:成熟稳定,支持TCP/UDP。
- 步骤:
- 使用脚本快速部署:
wget https://git.io/vpn -O openvpn-install.sh && sudo bash openvpn-install.sh
- 按提示操作,生成客户端配置文件(
.ovpn文件)。
- 使用脚本快速部署:
- 优点:兼容性强。
- 缺点:配置稍复杂,性能略低于WireGuard。
IPSec/L2TP(兼容性方案)
- 适用场景:旧设备支持(如Windows Phone)。
- 工具:使用
libreswan(IPSec) +xl2tpd。 - 缺点:配置繁琐,可能被防火墙拦截。
基础准备
-
服务器需求:
- VPS(推荐Linux,如Ubuntu/CentOS)。
- 公网IP(或动态DNS解析)。
- 开放防火墙端口(如UDP 51820 for WireGuard)。
-
域名与证书(可选):
- 域名可绑定服务器IP,用于伪装流量(如配合Shadowsocks)。
- TLS证书(Let's Encrypt)提升安全性。
注意事项
-
法律风险:
- 部分国家限制VPN服务,需确认当地法规。
- 避免用于非法活动(如盗版、黑客攻击)。
-
性能优化:
- 选择靠近用户的服务器位置降低延迟。
- 启用压缩(如OpenVPN的
comp-lzo)。
-
隐私保护:
- 禁用服务器日志(如修改
/etc/wireguard/wg0.conf添加Table = off)。 - 使用DNS加密(如Cloudflare的1.1.1.1或Quad9)。
- 禁用服务器日志(如修改
-
替代方案:
- 如果仅需代理网页流量,考虑Shadowsocks或V2Ray。
- 企业环境可用SoftEther VPN(支持多协议)。
常见问题
-
Q:手机如何连接自建VPN?
A:下载对应客户端(如WireGuard/OpenVPN App),导入配置文件。 -
Q:为什么速度慢?
A:检查服务器带宽、加密方式(WireGuard默认加密更高效),或尝试更换协议(如UDP改TCP)。
通过上述方案,你可以根据需求选择适合的VPN类型,WireGuard适合大多数现代场景,OpenVPN则提供更广泛的兼容性,务必做好安全配置并定期更新软件!









