手把手教你用脚本快速搭建安全可靠的VPN服务——从零开始的自动化部署指南

在当今远程办公和跨地域协作日益普及的背景下，虚拟私人网络（VPN）已成为企业与个人用户保障数据传输安全的重要工具，手动配置OpenVPN、WireGuard或IPSec等协议不仅耗时费力，还容易因配置错误引发安全漏洞，为此，编写一个自动化部署脚本成为高效、稳定搭建私有VPN服务的最佳实践，本文将详细介绍如何通过Shell脚本实现一键式VPN服务器搭建,并提供完整代码示例与注意事项。

我们选择WireGuard作为首选协议，因其轻量、高性能、原生支持Linux内核且配置简洁，非常适合自动化部署，以下是完整的搭建脚本代码（适用于Ubuntu/Debian系统）：

# 自动化WireGuard VPN搭建脚本
# 作者：网络工程师小张
# 用途：一键安装并配置WireGuard服务，生成客户端配置文件
set -e  # 出错立即退出
echo "正在安装WireGuard..."
apt update && apt install -y wireguard resolvconf
echo "正在生成密钥对..."
wg genkey | tee /etc/wireguard/private.key | wg pubkey > /etc/wireguard/public.key
# 配置服务器端接口
cat <<EOF > /etc/wireguard/wg0.conf
[Interface]
PrivateKey = $(cat /etc/wireguard/private.key)
Address = 10.0.0.1/24
ListenPort = 51820
SaveConfig = true
# 允许转发流量
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
EOF
# 启用IP转发
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p
# 启动并启用服务
systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0
# 创建客户端配置模板（可扩展为批量生成）
CLIENT_NAME="client1"
CLIENT_PRIVATE_KEY=$(wg genkey)
CLIENT_PUBLIC_KEY=$(echo "$CLIENT_PRIVATE_KEY" | wg pubkey)
cat <<EOF > /etc/wireguard/${CLIENT_NAME}.conf
[Interface]
PrivateKey = $CLIENT_PRIVATE_KEY
Address = 10.0.0.2/24
DNS = 8.8.8.8, 1.1.1.1
[Peer]
PublicKey = $(cat /etc/wireguard/public.key)
Endpoint = YOUR_SERVER_IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
EOF
echo "✅ WireGuard服务已成功部署！"
echo "客户端配置文件位于：/etc/wireguard/${CLIENT_NAME}.conf"
echo "请使用此配置文件在客户端设备上连接。"

该脚本核心功能包括：

1. 自动安装WireGuard及相关依赖；
2. 生成服务器私钥和公钥；
3. 配置接口地址、监听端口及NAT转发规则；
4. 启用IP转发并持久化配置；
5. 自动生成客户端配置文件（可扩展为多用户批量生成）；

注意事项：

• 替换脚本中的YOUR_SERVER_IP为你的公网IP；
• 建议设置防火墙规则（如ufw允许51820端口）；
• 生产环境应结合证书管理（如Let's Encrypt）提升安全性；
• 客户端需安装对应平台的WireGuard客户端（Windows/macOS/Linux均有官方支持）；

通过此类脚本，网络工程师可以快速复制部署多个安全、高效的VPN实例，极大提升运维效率，脚本结构清晰、注释详尽，适合团队协作与二次开发，掌握自动化部署技能,是现代网络工程师必备的核心能力之一。