如何搭建一个个人VPN呢?

想要科学(?)的使用网络,往往有两种方式,代理(proxy)or 私有局域网(VPN)

什么?你的梯子又双挂了,为什么不搭建一个自己的VPN呢?

本篇文章仅供计网知识学习交流使用

租借一个海外的服务器

首先,你需要有一台海外/香港等地区的服务器,确保服务器可以正常访问海外网站即可。

云服务厂商推荐:

  • 国内:阿里云/腾讯云(推荐腾讯云锐驰型,公网流量不会额外收费)
  • 国外:vultr

购买国外服务器需要国际支付方式,推荐:海外银行卡/PayPal。

(国内银行卡好像也可以试试,但我试的不太行,换了两张卡都被海外厂商封掉了跨境交易…)

服务器配置买最低的即可,服务器只用来做流量转发,配置太高只会浪费。

搭建VPN

本教程采用WireGuard工具来搭建,大家也可以选择其他的。

服务器操作系统为ubuntu,客户端操作系统为macOS。(windows可以使用wireguard官方的图形化工具)

安装WireGuard

登录到服务器,安装wireguard

1
2
sudo apt update
sudo apt install -y wireguard

生成服务器密钥对

  1. 更改文件权限,确保新建的文件只有自己的用户可以访问。
1
umask 077
  1. 创建目录wireguardkey
1
2
mkdir wireguardkey
cd ~/wireguardkey
  1. 生成服务端密钥对,将公钥和私钥保存到这两个文件中,这两个key文件会生成于你所在的目录下。
  • server_private.key:私钥,写入配置文件。
  • server_public.key:公钥,给客户端用。
1
wg genkey | tee server_private.key | wg pubkey > server_public.key
  1. 开启内核转发。
1
sudo vim /etc/sysctl.conf

输入/进行查找 or 添加以下内容:

1
2
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

之后保存退出,用以下命令使修改生效:

1
sudo sysctl -p

生成客户端密钥对

  1. 创建目录wireguardkey,切换到该目录下。
  2. 安装WireGuard命令行工具。
1
brew install wireguard-tools
  1. 和服务端类似,生成客户端密钥对。

  • client_private.key:私钥,写入客户端配置。

  • client_public.key:公钥,要写到服务器配置里。

1
2
umask 077
wg genkey | tee client_private.key | wg pubkey > client_public.key

将密钥写入配置文件

  1. 编辑服务器配置文件:/etc/wireguard/wg0.conf
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
[Interface]
Address = 10.0.0.1/24, fd86:ea04:1115::1/64
ListenPort = 51820
PrivateKey = <ServerPrivateKey>

# IPv4 NAT
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT
PostUp = iptables -A FORWARD -o wg0 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

# IPv6 转发
PostUp = ip6tables -A FORWARD -i wg0 -j ACCEPT
PostUp = ip6tables -A FORWARD -o wg0 -j ACCEPT
PostUp = ip6tables -t nat -A POSTROUTING -s fd86:ea04:1115::/64 -o eth0 -j MASQUERADE

# 下线清理
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT
PostDown = iptables -D FORWARD -o wg0 -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

PostDown = ip6tables -D FORWARD -i wg0 -j ACCEPT
PostDown = ip6tables -D FORWARD -o wg0 -j ACCEPT
PostDown = ip6tables -t nat -D POSTROUTING -s fd86:ea04:1115::/64 -o eth0 -j MASQUERADE


[Peer]
# 这是客户端的信息
PublicKey = <ClientPublicKey>
AllowedIPs = 10.0.0.2/32, fd86:ea04:1115::2/128
  • <ServerPrivateKey>换成你的server_private.key内容
  • <ClientPublicKey>换成你的client_public.key内容
  • eth0换成你的服务器外网网卡名(可用ip route查看,显示dev eth0就表示eth0是外网网卡)
  1. 编辑客户端配置文件:/opt/homebrew/etc/wireguard/wg0.conf
1
2
3
4
5
6
7
8
9
10
[Interface]
Address = 10.0.0.2/24, fd86:ea04:1115::2/64
PrivateKey = <ClientPrivateKey>
DNS = 8.8.8.8, 2001:4860:4860::8888

[Peer]
PublicKey = <ServerPublicKey>
Endpoint = <ServerIP>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

  • <ClientPrivateKey>换成client_private.key 内容

  • <ServerPublicKey>换成服务器生成的 server_public.key 内容

  • <ServerIP>换成服务器的公网ip

  • ⚠️注意:如果你的服务器不支持ipv6,需要把[Peer]中的AllowedIPs = 0.0.0.0/0, ::/0更改为AllowedIPs = 0.0.0.0/0

启动服务

在启动服务前,请检查你的服务器防火墙或者是云服务商的安全组,确保51820端口的UDP流量是开放的。

  1. 在服务器执行:
1
2
sudo systemctl start wg-quick@wg0
sudo systemctl enable wg-quick@wg0

启动服务,指定wg0配置文件,并设置为开机自启,可用sudo systemctl status wg-quick@wg0查看服务状态。

  1. 在客户端执行:
  • 开启VPN服务:
1
sudo wg-quick up wg0
  • 关闭VPN服务:
1
sudo wg-quick down wg0

验证服务

按照上面的流程,你的VPN服务应该已经可以正常运行了。

可以使用以下方法验证一下:

  • ping一下google

  • 检查自己的ip地址是不是服务器的ip:curl ifconfig.me

说些什么吧!

gitalk