在当今数字化时代,网络安全与隐私保护变得尤为重要，无论是远程办公、访问境外资源，还是防止公共Wi-Fi下的数据泄露，一个稳定可靠的个人或家庭级VPN（虚拟私人网络）已经成为必备工具，本文将为你提供一套完整的、适用于Windows和Linux系统的开源VPN搭建教程，无需付费服务，仅需一台云服务器即可实现。

你需要准备以下基础条件：

1. 一台云服务器（推荐阿里云、腾讯云、AWS或DigitalOcean，配置至少1核CPU、1GB内存）；
2. 一个域名（可选但强烈建议，便于后续配置SSL证书）；
3. 基本的Linux命令行操作能力（如SSH登录、文件编辑等）；
4. 了解基本的网络端口概念（如UDP 1194是OpenVPN默认端口）。

我们以OpenVPN为例,这是一个开源、成熟且广泛使用的VPN协议，步骤如下：

第一步：安装OpenVPN和Easy-RSA
登录你的服务器后，执行以下命令（以Ubuntu为例）：

sudo apt update && sudo apt install openvpn easy-rsa -y

Easy-RSA用于生成证书和密钥，这是建立安全连接的核心。

第二步：初始化PKI（公钥基础设施）
运行：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

然后编辑 vars 文件，设置国家、组织名称等信息（set_var EASYRSA_COUNTRY "CN"）。

第三步：生成CA证书、服务器证书和客户端证书
执行：

./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server

接着为客户端生成证书（每个设备一个）：

./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

第四步：配置OpenVPN服务器
复制模板配置文件：

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/

编辑 /etc/openvpn/server.conf，关键配置包括：

• proto udp（使用UDP协议更高效）
• port 1194
• dev tun
• 指定CA、证书、密钥路径（如 ca ca.crt）
• 启用IP转发：push "redirect-gateway def1 bypass-dhcp"

第五步：启用IP转发并配置防火墙

echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p

开启iptables规则允许流量转发：

iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

第六步：启动服务并测试

systemctl enable openvpn@server
systemctl start openvpn@server

将生成的客户端配置文件（client1.ovpn）和证书分发到你的设备上，使用OpenVPN客户端连接即可。

通过以上步骤,你就能拥有一个完全私有的、加密的远程访问通道，不仅安全可靠，还能有效绕过网络审查，记住定期更新证书和服务器系统补丁，才能保持长期稳定与安全！