在当今远程办公、跨境访问和隐私保护需求日益增长的背景下，使用自建虚拟私人网络（VPN）已成为许多技术爱好者的首选方案，搬瓦工（Bandwagon Host）作为一家广受好评的海外VPS服务商，因其性价比高、线路稳定、支持多种操作系统而备受青睐，本文将详细介绍如何在搬瓦工VPS上部署OpenVPN服务，帮助你构建一个安全、可靠、可定制的个人网络隧道。

第一步：准备环境
你需要一台已经开通的搬瓦工VPS（推荐选择Linux系统，如Ubuntu 20.04或CentOS 7），登录服务器时，建议使用SSH密钥认证方式，提升安全性，通过终端连接到服务器后，执行以下命令更新系统：

sudo apt update && sudo apt upgrade -y

第二步：安装OpenVPN与Easy-RSA
OpenVPN是开源的SSL/TLS协议实现，支持跨平台使用，我们先安装核心组件：

sudo apt install openvpn easy-rsa -y

Easy-RSA用于生成证书和密钥，是OpenVPN身份认证的关键部分。

第三步：初始化PKI（公钥基础设施）
创建证书颁发机构（CA）和服务器证书，这是建立安全通信的基础：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass
sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

上述命令依次完成CA初始化、生成CA证书、生成服务器私钥及签名证书，注意：nopass参数表示不设置密码，适合自动化场景，但生产环境建议设置强密码。

第四步：生成客户端证书与密钥
为每个客户端生成唯一证书，例如为用户“client1”生成：

sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

第五步：配置OpenVPN服务端
复制模板配置文件并编辑：

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
sudo nano /etc/openvpn/server.conf

关键配置项包括：

• port 1194：指定OpenVPN监听端口（建议改为非默认端口以避免扫描攻击）
• proto udp：使用UDP协议提高性能
• dev tun：使用TUN设备模式
• ca, cert, key, dh：指向前面生成的证书路径
• push "redirect-gateway def1 bypass-dhcp"：强制客户端流量走VPN
• push "dhcp-option DNS 8.8.8.8"：指定DNS服务器

第六步：启用IP转发与防火墙规则
修改内核参数允许IP转发：

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

配置iptables规则（示例）：

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -i eth0 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT

第七步：启动并测试
启动OpenVPN服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

将生成的客户端配置文件（包含.crt、.key、.ovpn）分发给用户，即可在Windows、macOS、Android或iOS上使用OpenVPN客户端连接。

通过以上步骤，你可以在搬瓦工VPS上成功部署一个功能完整的OpenVPN服务，此方案不仅成本低、灵活性强，还能满足多用户、多设备同时接入的需求，更重要的是，它为你提供了对数据流的完全控制权，是构建私有网络的理想选择，记住定期备份证书、更新软件版本，并考虑结合fail2ban等工具加强防护，让你的VPN更加安全稳定。