阿里云搭建 VPN 步骤及注意事项：从配置到连接全流程详解

在阿里云上搭 VPN，是不是对着一堆配置项犯愁？刚买的服务器，点开控制台却不知道该点哪个按钮，好不容易按教程弄完，手机连的时候提示 “连接失败”—— 新手第一次搭，十有八九会踩这些坑。今天小编就把从配置到连接的全流程拆解开，遇到问题该咋办也说清楚，新手跟着走，基本不会出错。

准备阶段：这些东西得先弄好，不然白忙活

基础问题：为啥非要用阿里云服务器搭 VPN？自己的电脑不行吗？

自己的电脑当然能搭，但家用网络大多没有固定公网 IP，每次重启 IP 变了，VPN 就用不了；阿里云服务器有固定公网 IP，还稳定，适合长期用。小编之前试过用家里旧电脑搭，三天两头断，换阿里云后，一个月都没掉过线。

场景问题：搭之前得准备啥？在哪能找到这些东西？

• 一台阿里云服务器：得是已经备案的（国内服务器都要备案），系统选 CentOS 或 Ubuntu，新手推荐 CentOS，教程多好上手。在阿里云控制台 “云服务器 ECS” 里能看到自己的服务器，记着公网 IP，后面要用。
• 安全组得开端口：VPN 常用端口是 1194（UDP），这个必须在安全组里放行。在哪找安全组？服务器实例页面点 “更多”，再点 “网络和安全组”→“安全组配置”，进去就能加规则了。
• 远程连接工具：比如 Xshell 或 Putty，用来登录服务器输命令。官网能下免费版，安装时一路点 “下一步” 就行，不用改设置。

配置服务器：从安全组到软件安装，一步都不能错

场景问题：安全组到底咋配置？填错了是不是就连不上？

对，安全组是第一道门，没配置对，后面再努力也白搭。具体步骤：

1. 进安全组配置页面，点 “手动添加”；
2. 端口范围填 “1194/1194”，协议选 “UDP”；
3. 授权对象填 “0.0.0.0/0”（允许所有 IP 连接，嫌不安全可以填自己常用 IP 段）；
4. 点 “确定”，等 1 分钟左右就生效了。

小编第一次配的时候，把协议选错成 TCP 了，结果软件装好了却连不上，查了半天才发现是这问题，改过来立马就通了。

场景问题：服务器里要装啥软件？命令记不住咋办？

新手推荐装 OpenVPN，教程多，出错了好查。登录服务器后，按顺序输这几条命令（复制粘贴就行，别手敲，容易错）：

• 先更系统：yum update -y（CentOS 用这个，Ubuntu 换成apt update -y）；
• 装依赖：yum install -y openvpn easy-rsa；
• 复制配置文件：cp -r /usr/share/easy-rsa/3/ /etc/openvpn/。

输的时候注意，要是提示 “command not found”，可能是系统版本不对，换个 CentOS 7 试试，小编用这个版本一次就成功了。

连接设备：手机电脑怎么连？手把手教你

场景问题：服务器配置好了，手机咋连？需要下啥软件？

手机得装 OpenVPN 客户端，安卓在应用市场搜 “OpenVPN Connect”，苹果在 App Store 搜（可能需要外区账号）。安装后要导入配置文件，这个文件是在服务器上生成的，步骤有点绕：

1. 在服务器上生成客户端配置：cd /etc/openvpn/3/ && ./easyrsa build-client-full client nopass；
2. 找到生成的文件：/etc/openvpn/3/pki/issued/client.crt和/etc/openvpn/3/pki/private/client.key；
3. 把这俩文件和服务器的 ca.crt（在 pki 目录下）传到手机，用客户端导入，填服务器公网 IP，就能连了。

小编第一次传文件用的微信，结果格式乱了，后来用 QQ 传才好，大家传的时候注意别用会改格式的工具。

解决方案：连的时候提示 “认证失败”，是哪里错了？

多半是客户端配置文件里的证书路径不对，或者生成证书时输了密码但客户端没填。解决办法：重新生成证书，选 “nopass”（不用密码），再导一次；或者检查配置文件里的 cert 和 key 路径，是不是指向你传的文件。

最容易踩的坑，新手务必记牢

• 服务器没备案：国内阿里云服务器不备案的话，80、443 这些端口用不了，虽然 VPN 用 1194 端口，但没备案可能被限制，小编朋友的服务器因为没备案，搭好后用了三天就被关停了，还是乖乖备案稳妥。
• 同时连太多设备：阿里云服务器带宽有限，比如 1M 带宽，连 3 台以上设备就会很卡。要是觉得慢，去控制台升带宽，1M 升 2M 每月多花 20 块，速度能快不少。
• 忘了关防火墙：服务器自带的防火墙（firewalld）可能会挡 VPN 连接，输systemctl stop firewalld关掉，或者在防火墙里放行 1194 端口，不然就算安全组开了也连不上。

小编的一点实在话

搭 VPN 看着步骤多，其实就是 “准备→配置→连接” 三步，难在细节，比如安全组协议、证书生成这些小地方，错一个就卡壳。建议新手每步操作完都截图，出问题了对着图找错；还有，一定要在合规范围内使用，别干违规的事。按教程走，多试两次，肯定能成，小编第一次搭也花了一下午，第二次就半小时搞定了，孰能生巧嘛。