在当前全球网络环境日益复杂的背景下，越来越多用户选择使用虚拟私人网络（VPN）来保护隐私、绕过地域限制或提升访问速度，搬瓦工（Bandwagon Host）作为一家广受好评的海外VPS服务商，因其性价比高、稳定性强、支持多种操作系统和协议而成为搭建个人或企业级VPN的理想平台，本文将详细介绍如何在搬瓦工服务器上搭建一个稳定、安全、高效的OpenVPN服务。

你需要登录搬瓦工官网（https://bandwagonhost.com/），购买一台适合的VPS套餐（推荐至少1核CPU、1GB内存、20GB SSD空间的入门款），购买成功后，你会收到一封包含服务器IP地址、root账户密码和SSH端口的邮件，通过SSH客户端（如PuTTY或Terminal）连接服务器：

ssh root@你的服务器IP地址

首次登录后,建议立即修改root密码并更新系统软件包：

passwd
apt update && apt upgrade -y

接着安装OpenVPN及相关依赖工具（以Ubuntu为例）：

apt install openvpn easy-rsa -y

然后生成证书和密钥材料，这是OpenVPN安全通信的核心,进入EasyRSA目录并初始化PKI环境：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
./easyrsa init-pki
./easyrsa build-ca nopass  # 创建根证书，不设置密码
./easyrsa gen-req server nopass  # 生成服务器证书请求
./easyrsa sign-req server server  # 签署服务器证书
./easyrsa gen-dh  # 生成Diffie-Hellman参数

完成上述步骤后,复制证书文件到OpenVPN配置目录：

cp pki/ca.crt pki/private/server.key pki/dh.pem /etc/openvpn/

现在创建主配置文件 /etc/openvpn/server.conf如下（可根据需要调整端口、协议等）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

保存配置文件后,启用IP转发并配置iptables规则以允许流量转发：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

最后启动OpenVPN服务并设置开机自启：

systemctl start openvpn@server
systemctl enable openvpn@server

至此，你的搬瓦工VPS已成功部署为OpenVPN服务器，用户可通过导入配置文件（含客户端证书）在手机或电脑上连接，为保障长期安全，建议定期更新证书、监控日志、开启防火墙（如UFW）、使用强密码策略,并考虑结合WireGuard等更现代的协议替代方案。

通过以上步骤，你不仅拥有了一个私有、加密、可定制的网络通道，还掌握了从底层架构到运维细节的完整技能，真正实现“用技术守护自由”。