方案1:使用阿里云VPN网关(官方托管服务)
适用场景:企业级加密通信,无需自维护服务器。
步骤:
- 创建VPN网关
- 登录阿里云控制台 → 进入 VPN网关 → 选择 创建VPN网关。
- 选择地域、实例规格(按带宽计费)、VPC绑定。
- 配置用户网关
- 在 用户网关 中添加本地网络设备的公网IP(如公司防火墙)。
- 创建IPSec连接
- 绑定VPN网关和用户网关,配置预共享密钥(PSK)、IKE/IPSec参数(如加密算法为
aes、认证为sha1)。
- 绑定VPN网关和用户网关,配置预共享密钥(PSK)、IKE/IPSec参数(如加密算法为
- 路由配置
在VPC路由表中添加目标网段,下一跳指向VPN网关。
优点:高可用、阿里云自动维护。
缺点:按带宽计费,成本较高。
方案2:自建OpenVPN服务器(ECS实例)
适用场景:灵活配置,适合个人或小团队。
步骤:
- 购买ECS实例
- 选择Linux系统(如Ubuntu 20.04),开放安全组规则:
UDP 1194(OpenVPN默认端口)。
- 选择Linux系统(如Ubuntu 20.04),开放安全组规则:
- 安装OpenVPN
sudo apt update && sudo apt install openvpn easy-rsa
- 配置CA和证书
make-cadir ~/openvpn-ca && cd ~/openvpn-ca nano vars # 修改证书信息(如KEY_COUNTRY) source vars && ./clean-all ./build-ca # 生成CA ./build-key-server server # 服务器证书 ./build-key client1 # 客户端证书
- 生成Diffie-Hellman和TLS密钥
./build-dh && openvpn --genkey --secret keys/ta.key
- 配置服务器
- 复制示例配置并编辑:
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ gzip -d /etc/openvpn/server.conf.gz nano /etc/openvpn/server.conf
- 关键参数:
proto udp dev tun ca /path/to/ca.crt cert /path/to/server.crt key /path/to/server.key dh /path/to/dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1" # 客户端流量全走VPN
- 复制示例配置并编辑:
- 启动服务
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
- 配置客户端
- 将生成的
client1.crt、client1.key、ca.crt、ta.key下载到本地,配合客户端配置文件(.ovpn)使用。
- 将生成的
优点:完全控制,成本低(仅ECS费用)。
缺点:需自行维护安全性。
方案3:快速搭建WireGuard(高性能VPN)
适用场景:追求低延迟和高吞吐量。
步骤:
-
ECS实例准备
- 选择Ubuntu 20.04+,安全组开放
UDP 51820。
- 选择Ubuntu 20.04+,安全组开放
-
安装WireGuard
sudo apt update && sudo apt install wireguard resolvconf
-
生成密钥对
wg genkey | tee privatekey | wg pubkey > publickey
-
配置服务端(
/etc/wireguard/wg0.conf)[Interface] PrivateKey = <服务器私钥> Address = 10.0.0.1/24 ListenPort = 51820 PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE [Peer] # 客户端配置 PublicKey = <客户端公钥> AllowedIPs = 10.0.0.2/32
-
启用服务
sudo wg-quick up wg0 sudo systemctl enable wg-quick@wg0
-
客户端配置
类似格式,交换公钥和IP即可。
优点:轻量级,性能极佳。
缺点:配置稍复杂,需手动管理Peer。
注意事项
- 安全组规则:确保放行VPN协议所需端口(如UDP 500/4500 for IPSec)。
- 合规性:在中国境内搭建VPN需遵守法律法规,确保用途合法。
- 日志监控:建议启用阿里云云监控或自建日志审计(如
fail2ban)。
根据需求选择方案,企业级推荐阿里云VPN网关,个人技术可控推荐OpenVPN/WireGuard。












京公网安备11000000000001号
京ICP备11000001号