作为一名资深网络工程师，我经常被问到如何利用低成本的 VPS 搭建一个稳定、安全且易用的 OpenVPN 服务，搬瓦工（Bandwagon Host）作为全球知名的低价 VPS 提供商，因其高性价比和良好的稳定性，成为许多用户搭建自用代理服务器的首选平台，本文将详细介绍如何在搬瓦工 VPS 上部署 OpenVPN，并配置客户端连接,助你轻松实现科学上网。

你需要登录搬瓦工控制面板，创建一台 Linux 系统的 VPS（推荐使用 Ubuntu 20.04 或 CentOS 7），购买后获取服务器 IP 地址、root 用户名和初始密码，通过 SSH 工具（如 PuTTY 或 Terminal）连接服务器。

第一步是更新系统并安装必要软件包：

sudo apt update && sudo apt upgrade -y
sudo apt install -y openvpn easy-rsa

第二步，生成证书和密钥，OpenVPN 使用 PKI（公钥基础设施）进行身份认证，必须先设置 CA（证书颁发机构）：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass
sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server
sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

这一步会生成服务器端和客户端证书，后续用于双向认证,增强安全性。

第三步，配置 OpenVPN 服务,复制模板配置文件并编辑：

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/
sudo nano /etc/openvpn/server.conf

关键配置项包括：

• port 1194：指定监听端口（可改）
• proto udp：使用 UDP 协议更高效
• dev tun：虚拟隧道设备
• ca /etc/openvpn/easy-rsa/pki/ca.crt
• cert /etc/openvpn/easy-rsa/pki/issued/server.crt
• key /etc/openvpn/easy-rsa/pki/private/server.key
• dh /etc/openvpn/easy-rsa/pki/dh.pem（需执行 sudo ./easyrsa gen-dh 生成）

第四步，启用 IP 转发和防火墙规则，修改 /etc/sysctl.conf 中的 net.ipv4.ip_forward=1，然后执行 sudo sysctl -p 生效，再配置 iptables：

sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

第五步，启动 OpenVPN 服务并设置开机自启：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

将客户端证书（client1.crt、client1.key、ca.crt）打包成 .ovpn 文件，导入手机或电脑客户端（如 OpenVPN Connect），即可连接，建议设置 DNS 解析为 8.8.8.8 或 1.1.1.1，避免 DNS 污染。

搬瓦工 + OpenVPN 是一套经济高效、可控性强的解决方案，虽然步骤略多，但一旦配置成功，不仅可用于个人上网，还可扩展为家庭共享代理或企业内网访问，记住定期更新证书和补丁,确保长期安全稳定运行。