VPN 伺服器完整指南|架設與設定教學
VPN 伺服器的功能與使用場景
「公司要求用 VPN 連回公司網路...」
「想自己架 VPN,不想用付費服務...」
「出國旅遊想連回台灣看影片...」
VPN 不只是「翻牆工具」,它是保護你網路安全的重要技術。這篇文章帶你了解 VPN 伺服器的運作原理,以及如何自己架設。
一、VPN 伺服器是什麼?
1.1 VPN 定義
VPN = Virtual Private Network = 虛擬私人網路
VPN 在公共網路上建立一條「加密隧道」,讓你的網路流量安全地傳輸。
舉例:
想像你在咖啡店用公共 Wi-Fi,這就像在大街上講電話,誰都可能聽到。VPN 就像幫你蓋了一個隔音室,只有你和對方聽得到。
1.2 VPN 伺服器的角色
VPN 連線的兩端:
1. VPN 客戶端:你的裝置(手機、電腦)
2. VPN 伺服器:接收你連線的伺服器
VPN 伺服器負責:
- 接收客戶端的加密連線
- 解密流量,轉發到目標
- 將回應加密,傳回客戶端
- 隱藏你的真實 IP
1.3 VPN 的用途
| 用途 | 說明 |
|---|---|
| 遠端工作 | 安全連回公司內網 |
| 隱私保護 | 隱藏真實 IP,加密流量 |
| 突破限制 | 存取地區限制的內容 |
| 公共 Wi-Fi | 在不安全網路上保護自己 |
| 遊戲連線 | 連接特定地區的遊戲伺服器 |
二、VPN 協定比較
2.1 常見 VPN 協定
2.2 OpenVPN
最成熟、最廣泛使用的協定。
| 項目 | 說明 |
|---|---|
| 安全性 | ⭐⭐⭐⭐⭐ 極高 |
| 速度 | ⭐⭐⭐ 中等 |
| 設定難度 | ⭐⭐⭐⭐ 較複雜 |
| 裝置支援 | 幾乎所有平台 |
優點:
- 開源,安全性經過驗證
- 高度可設定
- 穿透防火牆能力強
缺點:
- 速度不是最快
- 設定較複雜
2.3 WireGuard
新世代協定,速度快、設定簡單。
| 項目 | 說明 |
|---|---|
| 安全性 | ⭐⭐⭐⭐⭐ 極高 |
| 速度 | ⭐⭐⭐⭐⭐ 極快 |
| 設定難度 | ⭐⭐ 簡單 |
| 裝置支援 | 主流平台都支援 |
優點:
- 程式碼精簡,約 4000 行(OpenVPN 超過 40 萬行)
- 速度極快
- 設定簡單
缺點:
- 較新,生態系統還在發展
- 預設不支援動態 IP
建議:新架設 VPN 優先考慮 WireGuard。
2.4 IKEv2
適合行動裝置的協定。
| 項目 | 說明 |
|---|---|
| 安全性 | ⭐⭐⭐⭐ 高 |
| 速度 | ⭐⭐⭐⭐ 快 |
| 設定難度 | ⭐⭐⭐ 中等 |
| 裝置支援 | 原生支援 iOS/macOS |
優點:
- 網路切換時自動重連(從 Wi-Fi 切到 4G)
- iOS/macOS 原生支援
缺點:
- 開源版本較少
- 穿透防火牆能力較弱
2.5 協定選擇建議
| 需求 | 建議協定 |
|---|---|
| 追求速度 | WireGuard |
| 穿透能力 | OpenVPN |
| 行動裝置 | IKEv2 |
| 企業環境 | OpenVPN |
| 一般使用 | WireGuard |
三、VPN 伺服器架設教學
3.1 架設前準備
你需要:
- 一台雲端伺服器(VPS)
- SSH 連線工具
- 基本的 Linux 指令知識
雲端伺服器選擇:
- AWS Lightsail(便宜)
- DigitalOcean(簡單)
- Vultr(多地區)
- Linode(穩定)
雲端選擇太多?讓我們幫你規劃。
3.2 使用 WireGuard 架設(推薦)
Step 1:安裝 WireGuard
# Ubuntu / Debian
sudo apt update
sudo apt install wireguard
# CentOS / Rocky Linux
sudo dnf install wireguard-tools
Step 2:生成金鑰
# 進入 WireGuard 目錄
cd /etc/wireguard
# 生成伺服器金鑰
wg genkey | tee server_private.key | wg pubkey > server_public.key
# 生成客戶端金鑰
wg genkey | tee client_private.key | wg pubkey > client_public.key
Step 3:建立伺服器設定
sudo nano /etc/wireguard/wg0.conf
[Interface]
PrivateKey = <server_private.key 內容>
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <client_public.key 內容>
AllowedIPs = 10.0.0.2/32
Step 4:啟用 IP 轉發
echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
Step 5:啟動 WireGuard
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0
3.3 客戶端設定
Step 1:下載 WireGuard 客戶端
- Windows / macOS:官網下載
- Android / iOS:App Store / Google Play
Step 2:建立客戶端設定
[Interface]
PrivateKey = <client_private.key 內容>
Address = 10.0.0.2/24
DNS = 8.8.8.8
[Peer]
PublicKey = <server_public.key 內容>
Endpoint = <你的伺服器 IP>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
Step 3:匯入設定並連線
四、OpenVPN 架設教學
4.1 使用安裝腳本(簡單方式)
OpenVPN 設定複雜,建議使用腳本。
# 下載並執行安裝腳本
curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
chmod +x openvpn-install.sh
sudo ./openvpn-install.sh
腳本會引導你完成:
1. 選擇協定(UDP/TCP)
2. 選擇埠號
3. 選擇 DNS
4. 建立客戶端設定檔
4.2 取得客戶端設定
安裝完成後,腳本會在 /root/ 或當前目錄生成 .ovpn 檔案。
將 .ovpn 檔案傳到你的裝置:
- 使用 SCP 下載
- 透過 Email 寄送(注意安全性)
4.3 客戶端連線
下載 OpenVPN 客戶端:
- Windows:OpenVPN GUI
- macOS:Tunnelblick
- Android / iOS:OpenVPN Connect
匯入 .ovpn 檔案即可連線。
五、VPN 安全性設定
5.1 防火牆設定
確保只開放必要埠號:
# WireGuard
sudo ufw allow 51820/udp
# OpenVPN (UDP)
sudo ufw allow 1194/udp
# SSH
sudo ufw allow 22/tcp
sudo ufw enable
5.2 DNS 洩漏防護
問題:即使用了 VPN,DNS 查詢可能走原本的網路。
解決方法:
1. 在 VPN 設定中指定 DNS(如 8.8.8.8)
2. 使用 VPN 伺服器上的 DNS
5.3 Kill Switch
什麼是 Kill Switch?
當 VPN 斷線時,自動切斷所有網路連線,避免流量外洩。
WireGuard 設定:
[Interface]
# 加入這行
PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
PreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT
六、VPN vs Proxy
很多人搞混這兩個。
| 項目 | VPN | Proxy |
|---|---|---|
| 加密 | 全程加密 | 通常不加密 |
| 涵蓋範圍 | 整個系統 | 特定應用 |
| 速度 | 較慢(加密耗時) | 較快 |
| 安全性 | 高 | 較低 |
| 用途 | 安全、隱私 | 突破限制、快取 |
選擇建議:
- 需要安全性 → VPN
- 只需要特定 App 翻牆 → Proxy
- 公共 Wi-Fi → 一定要用 VPN
想了解 Proxy,請參考 Proxy 代理伺服器完整指南。
FAQ 常見問題
Q1:自架 VPN 和付費 VPN 哪個好?
A:看需求。自架 VPN 可完全掌控,但需要技術能力和維護。付費 VPN(如 NordVPN、ExpressVPN)設定簡單,有多國節點,但需要信任服務商。
Q2:VPN 會讓網路變慢嗎?
A:會有些影響。加密和解密需要時間,而且流量要繞道 VPN 伺服器。選擇近的伺服器和快的協定(如 WireGuard)可以減少影響。
Q3:公司可以知道我用 VPN 嗎?
A:公司網管可能看到你連線到某個 IP,但看不到流量內容。不過,一直連到國外 IP 可能引起注意。
Q4:免費 VPN 安全嗎?
A:大部分不安全。免費 VPN 可能記錄你的流量、販賣你的資料、甚至注入廣告。如果不想花錢,建議自架。
Q5:WireGuard 和 OpenVPN 選哪個?
A:新架設建議 WireGuard,速度快、設定簡單。如果需要更細緻的設定或企業環境,OpenVPN 較成熟。
VPN 伺服器選擇建議與隱私保護重點
VPN 核心價值:
- 加密網路流量
- 隱藏真實 IP
- 安全使用公共網路
架設建議:
- 新手用 WireGuard
- 需要更多設定用 OpenVPN
- 雲端伺服器選便宜穩定的
想了解更多伺服器類型,請參考 伺服器類型總覽。
延伸閱讀:
- 伺服器類型總覽
- Proxy 代理伺服器完整指南
- DNS 伺服器是什麼
- 雲端伺服器架設教學
VPN 架設搞不定?讓我們幫你
需要架設 VPN 伺服器?設定卡關?我們都能幫你處理。專業工程師團隊 24 小時內回覆。
參考資料
- WireGuard,「WireGuard: fast, modern, secure VPN tunnel」,WireGuard.com(2024)
- OpenVPN,「Community Resources」,OpenVPN(2024)
- IETF,「RFC 7296 - IKEv2」,IETF(2014)
- DigitalOcean,「How to Set Up WireGuard on Ubuntu 22.04」,DigitalOcean Tutorials(2024)