自建VPN节点全流程：从VPS选购到WireGuard部署

一、VPS选购关键因素

自建VPN的第一步是选择合适的VPS。核心考量包括：

• 地理位置：选择靠近目标使用区域的服务器，以降低延迟。例如，面向国内用户建议选择香港、日本或新加坡节点。
• 网络质量：优先选择CN2 GIA、9929或CMIN2等优质线路，避免绕路导致速度下降。
• 带宽与流量：根据使用场景选择。日常浏览推荐1Gbps端口、500GB以上月流量。
• 服务商信誉：推荐BandwagonHost、Vultr、DigitalOcean等主流厂商，注意避开屏蔽VPN流量的机房。

二、操作系统与初始配置

推荐使用Debian 11/12或Ubuntu 22.04 LTS，因其稳定且WireGuard支持良好。初始配置步骤：

1. 通过SSH登录服务器，更新系统包：apt update && apt upgrade -y
2. 配置防火墙：仅开放必要端口（SSH 22、WireGuard 51820/UDP）
3. 禁用密码登录，使用SSH密钥认证增强安全性

三、WireGuard部署与优化

WireGuard以其简洁高效著称，部署步骤如下：

3.1 安装WireGuard

apt install wireguard -y

3.2 生成密钥对

wg genkey | tee privatekey | wg pubkey > publickey

3.3 配置服务端

创建 /etc/wireguard/wg0.conf，示例内容：

[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = <服务器私钥>
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <客户端公钥>
AllowedIPs = 10.0.0.2/32

3.4 启动与优化

• 启用IP转发：sysctl net.ipv4.ip_forward=1
• 启动服务：wg-quick up wg0
• 设置开机自启：systemctl enable wg-quick@wg0
• 优化MTU值（建议1420）以提升吞吐量

四、客户端配置与测试

客户端安装WireGuard后，导入类似以下配置：

[Interface]
PrivateKey = <客户端私钥>
Address = 10.0.0.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = <服务器公钥>
Endpoint = <服务器IP>:51820
AllowedIPs = 0.0.0.0/0, ::/0

连接后通过 ping 10.0.0.1 测试内网连通性，并访问 ipinfo.io 确认公网IP已变更。

五、安全加固建议

• 定期更新系统与WireGuard版本
• 使用fail2ban防范暴力破解
• 监控流量异常，设置带宽限制
• 考虑使用udp2raw或KCPTun应对UDP QoS