搬瓦工（Bandwagon Host）VPS 配置 OpenVPN 详细教程，从零开始搭建稳定可靠的个人网络隧道

作为一名资深网络工程师,我经常被问到如何利用廉价但性能出色的 VPS（如搬瓦工）搭建属于自己的 OpenVPN 服务，搬瓦工（Bandwagon Host）因其高性价比、全球多节点部署以及良好的稳定性，成为众多翻墙用户和远程办公人员的首选平台，本文将手把手教你如何在搬瓦工 VPS 上配置 OpenVPN，打造一个安全、稳定且可自定义的虚拟私人网络（VPN）。

第一步：准备环境
你需要一台已购买的搬瓦工 VPS（推荐使用 Ubuntu 20.04 或 22.04 LTS），并确保它拥有公网 IP 地址，登录你的服务器，建议通过 SSH 连接（如使用 PuTTY 或 Terminal），执行以下命令更新系统：

sudo apt update && sudo apt upgrade -y

第二步：安装 OpenVPN 和 Easy-RSA
OpenVPN 是开源的 SSL/TLS 协议实现，Easy-RSA 用于生成证书和密钥，运行以下命令安装依赖：

sudo apt install openvpn easy-rsa -y

第三步：初始化 PKI（公钥基础设施）
复制 Easy-RSA 到 OpenVPN 目录并初始化：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo cp vars.example vars

编辑 vars 文件，修改如下参数以适应你的需求（例如设置国家、组织名、密钥长度）：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="GD"
export KEY_CITY="Guangzhou"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@example.com"
export KEY_CN=server
export KEY_NAME=server
export KEY_OU=OpenVPN
export KEY_ALTNAMES="your-vps-ip"
export KEY_SIZE=2048

然后生成 CA 证书和服务器证书：

sudo ./clean-all
sudo ./build-ca
sudo ./build-key-server server
sudo ./build-dh
sudo ./build-key client1

第四步：配置 OpenVPN 服务
创建主配置文件 /etc/openvpn/server.conf如下（可根据需要调整端口、协议、加密算法等）：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

第五步：启用 IP 转发与防火墙规则
编辑 /etc/sysctl.conf，取消注释并设置：

net.ipv4.ip_forward=1

应用更改：

sudo sysctl -p

配置 iptables 规则允许流量转发：

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i tun0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

保存规则（Ubuntu 20.04+ 可用 iptables-persistent）：

sudo netfilter-persistent save

第六步：启动 OpenVPN 并配置客户端
启动服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

将你生成的客户端证书（client1.crt、client1.key、ca.crt）打包成 .ovpn 文件，并添加如下内容：

client
dev tun
proto udp
remote your-vps-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

把该 .ovpn 文件导入你的设备（Windows、Mac、Android、iOS 等）即可连接。

通过以上步骤，你已在搬瓦工 VPS 上成功搭建了一个功能完整的 OpenVPN 服务，相比商用代理或付费 VPN，这种方式更灵活、可控，且成本极低，记住定期更新证书、监控日志、加强密码策略，才能确保长期安全稳定运行，对于有技术基础的用户，还可以结合 WireGuard 或 Shadowsocks 实现更高性能的方案。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速