在当今数字化时代，网络安全和隐私保护越来越受到关注，无论是远程办公、访问受限内容，还是防止公共Wi-Fi窃听，一个稳定可靠的虚拟私人网络（VPN）服务成为许多用户的核心需求，而传统商业VPN服务商往往收费高昂、日志透明度不足，甚至存在数据泄露风险，使用树莓派（Raspberry Pi）自建私有VPN服务，不仅成本低廉（一台树莓派约100元人民币），还能实现完全可控、高度定制化的网络环境。

本文将详细介绍如何利用树莓派搭建基于OpenVPN协议的个人VPN服务,适合有一定Linux基础的网络爱好者或家庭用户操作。

准备硬件与软件环境：

• 树莓派3B+或更新型号（推荐使用带网口版本）
• 一张8GB以上MicroSD卡
• 电源适配器、网线
• 安装Raspberry Pi OS（Lite版更轻量）
• 可选：静态公网IP（若无，则需使用动态DNS服务如No-IP）

系统初始化 插入SD卡并烧录Raspberry Pi OS Lite后，通过SSH登录设备（默认账号pi，密码raspberry）,执行以下命令更新系统：

sudo apt update && sudo apt upgrade -y

安装OpenVPN服务 使用官方仓库安装OpenVPN及相关工具：

sudo apt install openvpn easy-rsa -y

然后生成证书颁发机构（CA）和服务器证书，这是建立加密连接的关键,执行：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，设置国家、组织等信息,接着运行：

./easyrsa init-pki
./easyrsa build-ca
./easyrsa gen-req server nopass
./easyrsa sign-req server server

配置OpenVPN服务器 复制生成的证书到OpenVPN目录,并创建主配置文件：

sudo cp pki/ca.crt pki/private/server.key pki/issued/server.crt /etc/openvpn/
sudo nano /etc/openvpn/server.conf

在配置文件中添加关键参数，

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"

注意启用IP转发和NAT规则以让客户端流量通过树莓派出口：

sudo sysctl net.ipv4.ip_forward=1
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

启动服务并测试

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

为客户端生成证书和配置文件，即可在手机、电脑上导入连接，建议搭配WireGuard协议作为替代方案,性能更高且配置更简洁。

通过树莓派搭建个人VPN，你不仅能掌控所有数据流向，还可在家中、办公室、旅行时随时随地安全上网，这不仅是技术实践的乐趣,更是对数字主权的积极捍卫。