手把手教你搭建专属VPN，安全上网不踩坑！附03版本详细教程）

在数字时代,隐私保护和网络自由越来越成为我们日常生活的刚需，无论是远程办公、跨境访问内容，还是避免本地网络监控，一个稳定可靠的个人VPN服务都显得尤为重要，我就来手把手教大家如何用开源工具——OpenVPN（俗称“03”）搭建属于自己的私人虚拟专用网络（VPN），全程零基础也能轻松上手！

你需要准备以下硬件和软件资源：

1. 一台可公网访问的服务器（推荐阿里云、腾讯云或华为云的轻量级实例，配置2核2G即可）；
2. 一个域名（可选，但强烈建议使用，便于后续管理和记忆）；
3. 一台用于连接的设备（手机/电脑均可）；
4. 安装好Linux系统（Ubuntu 20.04或Debian 10以上版本最佳）。

第一步：部署OpenVPN服务

登录你的服务器后,打开终端，执行以下命令安装OpenVPN及相关依赖：

sudo apt update && sudo apt install -y openvpn easy-rsa

创建证书颁发机构（CA）和服务器证书：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass
sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server
sudo ./easyrsa gen-dh
sudo cp pki/ca.crt pki/dh.pem pki/issued/server.crt pki/private/server.key /etc/openvpn/

第二步：配置服务器端文件

创建主配置文件 /etc/openvpn/server.conf如下（请根据实际情况修改IP段和DNS）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

然后生成TLS密钥：

openvpn --genkey --secret ta.key

第三步：启用IP转发与防火墙规则

确保服务器能转发流量：

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p

设置iptables规则（以Ubuntu为例）：

sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

启动服务并开机自启：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

第四步：客户端配置

将服务器上的 ca.crt、ta.key 和你为客户端生成的证书（可用 easyrsa gen-req client1 nopass + sign-req client client1）打包成 .ovpn 文件，

client
dev tun
proto udp
remote your-domain.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
verb 3

保存为 client.ovpn 后导入到手机或电脑的OpenVPN客户端即可连接！

小贴士：如果你使用的是国内云服务商，记得开启UDP端口1194，并做好DDoS防护；若使用域名，请绑定SSL证书提升安全性（可选但推荐）。

这套方案不仅免费、安全，还能完全掌控数据流向，是真正意义上的“私有网络”，比起市面上收费的商业VPN，这种自建方式更透明、更可控，别再让平台随意追踪你的上网行为了，动手试试吧！欢迎在评论区留言交流经验，我们一起打造更自由的互联网生活！

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速