如何在云服务器上安装和配置VPN(OpenVPN/WireGuard)?
常见问题
如何在云服务器上安装和配置VPN(OpenVPN/WireGuard)?
2025-04-04 03:01
手把手教你:云服务
手把手教你:云服务器上安装配置OpenVPN和WireGuard完整指南
在远程办公和网络安全日益重要的今天,搭建私有VPN成为许多技术人员和企业的刚需。本文将详细介绍两种主流VPN方案——OpenVPN和WireGuard在云服务器上的安装配置全过程,包含详细命令和注意事项。
一、准备工作
在开始安装前,请确保:
- 已购买云服务器(推荐Ubuntu 20.04/CentOS 8)
- 拥有root权限或sudo权限账户
- 防火墙已开放对应端口(OpenVPN默认1194,WireGuard默认51820)
- 域名解析已完成(可选,DDNS用户可跳过)
二、OpenVPN安装配置
1. 安装OpenVPN
# Ubuntu/Debian
sudo apt update
sudo apt install openvpn easy-rsa
# CentOS/RHEL
sudo yum install epel-release
sudo yum install openvpn easy-rsa
2. 配置CA证书
sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca # 按提示输入信息
3. 生成服务器证书
sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server
sudo ./easyrsa gen-dh
4. 创建配置文件
示例server.conf核心配置:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
三、WireGuard安装配置
1. 安装WireGuard
# Ubuntu ≥20.04
sudo apt install wireguard
# CentOS 8
sudo yum install elrepo-release epel-release
sudo yum install kmod-wireguard wireguard-tools
2. 生成密钥对
wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
3. 创建配置文件
创建/etc/wireguard/wg0.conf:
[Interface]
PrivateKey = [服务器私钥]
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = [客户端公钥]
AllowedIPs = 10.0.0.2/32
四、客户端配置与连接测试
OpenVPN客户端配置
创建client.ovpn文件:
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
[粘贴CA证书内容]
[粘贴客户端证书]
[粘贴客户端密钥]
WireGuard客户端配置
Windows/Mac用户可下载官方GUI客户端,移动端有官方App
五、常见问题解决
- 连接超时:检查防火墙设置和云服务商安全组规则
- DNS泄露:在配置中强制指定DNS服务器
- 速度慢:尝试更换协议(TCP/UDP)或调整MTU值
- IPv6问题:如不需要可在配置中明确禁用
六、方案对比与选择建议
对比项
OpenVPN
WireGuard
加密方式
SSL/TLS+自定义加密
现代加密协议(ChaCha20等)
性能
较高开销
接近线速
配置复杂度
较复杂(需CA体系)
极简配置
适用场景
企业级应用,需严格审计
移动设备/个人使用
建议:企业用户选择OpenVPN,个人用户优先考虑WireGuard
手把手教你:云服务器上安装配置OpenVPN和WireGuard完整指南
在远程办公和网络安全日益重要的今天,搭建私有VPN成为许多技术人员和企业的刚需。本文将详细介绍两种主流VPN方案——OpenVPN和WireGuard在云服务器上的安装配置全过程,包含详细命令和注意事项。
一、准备工作
在开始安装前,请确保:
- 已购买云服务器(推荐Ubuntu 20.04/CentOS 8)
- 拥有root权限或sudo权限账户
- 防火墙已开放对应端口(OpenVPN默认1194,WireGuard默认51820)
- 域名解析已完成(可选,DDNS用户可跳过)
二、OpenVPN安装配置
1. 安装OpenVPN
# Ubuntu/Debian
sudo apt update
sudo apt install openvpn easy-rsa
# CentOS/RHEL
sudo yum install epel-release
sudo yum install openvpn easy-rsa
2. 配置CA证书
sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca # 按提示输入信息
3. 生成服务器证书
sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server
sudo ./easyrsa gen-dh
4. 创建配置文件
示例server.conf核心配置:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
三、WireGuard安装配置
1. 安装WireGuard
# Ubuntu ≥20.04
sudo apt install wireguard
# CentOS 8
sudo yum install elrepo-release epel-release
sudo yum install kmod-wireguard wireguard-tools
2. 生成密钥对
wg genkey | sudo tee /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey
3. 创建配置文件
创建/etc/wireguard/wg0.conf:
[Interface]
PrivateKey = [服务器私钥]
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = [客户端公钥]
AllowedIPs = 10.0.0.2/32
四、客户端配置与连接测试
OpenVPN客户端配置
创建client.ovpn文件:
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
[粘贴CA证书内容]
[粘贴客户端证书]
[粘贴客户端密钥]
WireGuard客户端配置
Windows/Mac用户可下载官方GUI客户端,移动端有官方App
五、常见问题解决
- 连接超时:检查防火墙设置和云服务商安全组规则
- DNS泄露:在配置中强制指定DNS服务器
- 速度慢:尝试更换协议(TCP/UDP)或调整MTU值
- IPv6问题:如不需要可在配置中明确禁用
六、方案对比与选择建议
对比项
OpenVPN
WireGuard
加密方式
SSL/TLS+自定义加密
现代加密协议(ChaCha20等)
性能
较高开销
接近线速
配置复杂度
较复杂(需CA体系)
极简配置
适用场景
企业级应用,需严格审计
移动设备/个人使用
建议:企业用户选择OpenVPN,个人用户优先考虑WireGuard
标签:
- OpenVPN
- WireGuard
- VPN配置
- 莱卡云