随着远程办公和跨地域访问需求的增长,构建一个稳定、安全的虚拟私人网络(VPN)已成为企业和个人用户的重要基础设施,阿里云作为国内领先的云计算服务商,提供了灵活且高性能的ECS实例资源,而Ubuntu则是广泛使用的Linux发行版,二者结合可以轻松搭建功能完备的VPN服务,本文将详细介绍如何在阿里云Ubuntu服务器上部署OpenVPN或WireGuard,帮助你快速建立私有网络隧道。
第一步:准备工作
登录阿里云控制台,创建一台Ubuntu 20.04或22.04版本的ECS实例,确保公网IP已分配,并配置安全组规则允许TCP/UDP端口(如OpenVPN默认使用1194端口)入站,建议使用SSH密钥登录方式提升安全性,避免密码爆破风险。
第二步:更新系统并安装依赖
通过SSH连接到你的Ubuntu服务器,执行以下命令更新系统包列表并安装必要工具:
sudo apt update && sudo apt upgrade -y sudo apt install -y build-essential libssl-dev liblz4-dev pkg-config
第三步:选择并部署VPN协议
推荐两种主流方案:
-
OpenVPN(适合初学者)
安装OpenVPN及相关组件:sudo apt install -y openvpn easy-rsa
使用Easy-RSA生成证书和密钥(CA、服务器证书、客户端证书),配置
/etc/openvpn/server.conf文件,启用TLS认证、加密算法(如AES-256-CBC)和DH参数,启动服务并设置开机自启:sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
-
WireGuard(轻量高效,推荐用于生产环境)
WireGuard因其简洁代码和高性能成为现代首选,安装:sudo apt install -y wireguard
生成私钥和公钥(
wg genkey | tee privatekey | wg pubkey > publickey),配置/etc/wireguard/wg0.conf,定义接口、监听地址、客户端允许IP等,启用IP转发和防火墙规则(ufw或iptables),最后启动服务:sudo wg-quick up wg0 sudo systemctl enable wg-quick@wg0
第四步:客户端配置与测试
为Windows、macOS或移动设备生成客户端配置文件(OpenVPN需导出证书,WireGuard只需公钥和配置信息),将客户端连接至阿里云公网IP,测试是否可正常访问内网资源(如企业数据库或NAS),使用ping和traceroute验证连通性,同时监控日志(journalctl -u openvpn@server或wg show)排查异常。
第五步:安全加固
关闭不必要的服务,定期更新系统补丁;限制客户端IP白名单;启用fail2ban防止暴力破解;考虑使用Cloudflare Tunnel或反向代理隐藏真实IP,若涉及敏感数据,务必启用双因素认证(MFA)和审计日志。
在阿里云Ubuntu上搭建VPN不仅成本低廉、部署迅速,还能根据业务需求灵活扩展,无论是OpenVPN的兼容性强,还是WireGuard的性能优越,都能满足不同场景需求,掌握这一技能,不仅能提升远程工作效率,也为构建私有云网络打下坚实基础,建议先在测试环境中验证配置,再逐步迁移生产应用,确保稳定与安全并重。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
