安装 OpenVPN 和 Easy-RSA

在树莓派上设置 VPN 可以实现远程访问家庭网络、保护隐私或绕过地域限制,以下是常见的方法和步骤：

选择 VPN 类型

• OpenVPN：开源、稳定,适合大多数用户。
• WireGuard：轻量级、高性能，适合低功耗设备（如树莓派）。
• IPSec/L2TP：兼容性强,但配置较复杂。

安装 VPN 服务器（以 WireGuard 为例）

步骤 1：安装 WireGuard

sudo apt update
sudo apt install wireguard

步骤 2：生成密钥对

cd /etc/wireguard
umask 077
wg genkey | tee privatekey | wg pubkey > publickey

步骤 3：创建配置文件

编辑 /etc/wireguard/wg0.conf：

[Interface]
PrivateKey = <你的私钥>
Address = 10.8.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = <客户端的公钥>
AllowedIPs = 10.8.0.2/32

步骤 4：启用并启动服务

sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

步骤 5：配置客户端

在客户端设备（手机/电脑）上安装 WireGuard,并添加类似配置：

[Interface]
PrivateKey = <客户端私钥>
Address = 10.8.0.2/24
[Peer]
PublicKey = <树莓派公钥>
Endpoint = <树莓派公网IP>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

设置端口转发（如果需要远程访问）

• 在路由器上转发 UDP 端口 51820（WireGuard 默认端口）到树莓派的本地 IP。
• 确保树莓派的本地 IP 是静态的（通过路由器 DHCP 绑定或树莓派静态配置）。

其他注意事项

• 防火墙：开放 VPN 端口（如 51820/udp）。

  sudo ufw allow 51820/udp

• 动态 DNS（DDNS）：如果家庭宽带没有固定公网 IP，可使用 DDNS 服务（如 noip.com）。
• 安全性：
  • 定期更新 VPN 软件。
  • 使用强密钥,避免默认配置。
  • 限制可连接的客户端 IP（通过防火墙或 VPN 配置）。

替代方案：OpenVPN

如果更喜欢 OpenVPN：

# 使用脚本快速配置（如 PiVPN）
curl -L https://install.pivpn.io | bash

常见问题

• 连接失败：检查端口转发、防火墙、密钥是否正确。
• 速度慢：尝试更换协议（如 WireGuard 比 OpenVPN 更快）。
• 树莓派性能：VPN 加密会占用 CPU，建议使用树莓派 3B+ 或更高版本。

通过以上步骤，你可以在树莓派上搭建一个高效的 VPN 服务器，如果需要更详细的教程，可以参考 PiVPN 或 WireGuard 官方文档。