在当今网络环境中,隐私保护和数据安全越来越受到重视，无论是远程办公、访问被屏蔽的网站，还是防止公共Wi-Fi下的信息泄露，一个属于自己的虚拟私人网络（VPN）服务器都能提供强大保障，相比使用第三方免费或付费服务，自建VPN不仅成本低、可控性强，还能根据需求灵活配置协议、加密方式和访问策略，本文将详细介绍如何在Linux系统上搭建一个稳定、安全的个人VPN服务器，适合有一定技术基础的用户参考实践。

你需要准备一台具备公网IP的服务器,可以是云服务商（如阿里云、腾讯云、AWS等）提供的VPS，也可以是家里的老旧电脑（只要能长期开机并有固定公网IP），推荐使用Ubuntu 20.04或22.04 LTS版本，因其社区支持广泛且文档丰富。

第一步：安装OpenVPN服务
登录服务器后，更新系统包列表并安装OpenVPN及相关工具：

sudo apt update && sudo apt upgrade -y
sudo apt install openvpn easy-rsa -y

配置证书颁发机构（CA）——这是后续所有客户端连接认证的基础，运行以下命令初始化PKI环境：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

第二步：生成服务器证书和密钥
继续执行：

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

第三步：生成客户端证书
每个需要连接的设备都需要单独生成证书，例如为手机或笔记本创建一个名为“client1”的证书：

sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

第四步：配置OpenVPN服务器文件
复制模板到配置目录，并编辑主配置文件 /etc/openvpn/server.conf：

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
sudo gunzip /etc/openvpn/server.conf.gz
sudo nano /etc/openvpn/server.conf

关键修改项包括：

• port 1194：指定端口（可改为其他如53/80以规避检测）
• proto udp：推荐使用UDP协议提升速度
• dev tun：虚拟隧道设备
• ca /etc/openvpn/easy-rsa/pki/ca.crt
• cert /etc/openvpn/easy-rsa/pki/issued/server.crt
• key /etc/openvpn/easy-rsa/pki/private/server.key
• dh /etc/openvpn/easy-rsa/pki/dh.pem（需先生成：sudo ./easyrsa gen-dh）

第五步：启用IP转发与防火墙规则
确保服务器能转发流量：

echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

配置iptables规则允许流量通过（示例）：

sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

启动服务并设置开机自启：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

至此,你的个人VPN服务器已成功部署！客户端可通过导出的.ovpn配置文件连接，该文件包含CA证书、客户端证书、密钥及服务器地址，建议定期备份证书、更新固件并监控日志，避免被滥用或攻击。

自建VPN不仅是技术爱好者的练手项目,更是现代数字生活中不可或缺的安全基础设施，它让你真正掌握数据主权，远离“黑箱”服务的潜在风险，合法合规地使用，才能让自由上网更安心。