云服务器个人虚拟局域网搭建指南

oxida

一、为什么需要个人虚拟局域网

1.1 公有云服务的优势与风险

优势：

• 上手简单：下载客户端即可实现文件同步
• 免费容量：多数服务提供一定免费存储空间
• 附加功能：如云相册支持智能识别（人物/地点/文本）

风险：

• 隐私泄露：服务商可能未经授权收集数据
• 文件安全：存在版权检测或内容删除风险
• 兼容性问题：跨平台访问受限（如苹果/华为生态隔离）
• 价格成本：大容量存储费用高昂，续费中断可能导致数据丢失

1.2 搭建私有云的优势

• 安全性：文件存储在本地，需令牌验证才能访问
• 隐私保障：完全自主控制存储内容
• 高度自定义：支持授权设备自由访问媒体资源

二、网络拓扑设计

采用云服务器作为中枢转发节点，实现：

• 内网设备通过公网环境访问本地服务器（如NAS）
• 可扩展外部访问功能（需后续安全加固）

三、个人虚拟局域网搭建步骤

3.1 云服务器选型建议

供应商	推荐配置	价格参考
腾讯云	3M带宽轻量服务器	最低约¥30/月
阿里云	200M带宽服务器	1GB内存约¥40/月

选型要点：

• 优先考虑带宽性能（本方案对CPU/内存要求较低）
• 最低配置建议≥1GB内存（避免操作卡顿）

3.2 OpenVPN服务端部署

3.2.1 基础环境准备

# 创建管理员账户
adduser ubuntu
usermod -a -G sudo ubuntu

3.2.2 安装依赖组件

sudo apt update
sudo apt install openvpn easy-rsa
mkdir ~/easy-rsa
ln -s /usr/share/easy-rsa/* ~/easy-rsa/
sudo chown ubuntu ~/easy-rsa
chmod 700 ~/easy-rsa

3.2.3 CA证书配置

cd ~/easy-rsa
nano vars  # 添加配置：
          # set_var EASYRSA_ALGO "ec"
          # set_var EASYRSA_DIGEST "sha512"

./easyrsa init-pki
./easyrsa gen-req server nopass
sudo cp pki/private/server.key /etc/openvpn/server/
./easyrsa build-ca nopass
sudo cp ~/easy-rsa/pki/ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
./easyrsa sign-req server server
sudo cp pki/issued/server.crt /etc/openvpn/server
sudo cp pki/ca.crt /etc/openvpn/server
openvpn --genkey secret ta.key
sudo cp ta.key /etc/openvpn/server

3.2.4 客户端证书生成

mkdir -p ~/client-configs/keys
chmod -R 700 ~/client-configs

cd ~/easy-rsa
./easyrsa gen-req desktop nopass
cp pki/private/desktop.key ~/client-configs/keys/
./easyrsa sign-req client desktop
cp pki/issued/desktop.crt ~/client-configs/keys/
cp ~/easy-rsa/ta.key ~/client-configs/keys/
sudo cp /etc/openvpn/server/ca.crt ~/client-configs/keys/
sudo chown ubuntu:ubuntu ~/client-configs/keys/*

3.2.5 服务端配置

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/server/
sudo nano /etc/openvpn/server/server.conf
# 关键修改项：
# 取消注释：topology subnet
# 新增：tls-crypt ta.key
# 修改加密：cipher AES-256-GCM, auth SHA256
# 禁用DH：dh none
# 启用客户端互访：client-to-client
# 添加路由：push "route 10.8.0.0 255.255.255.0"

3.2.6 网络配置

sudo ufw allow 1194/udp
sudo ufw allow OpenSSH
sudo ufw disable && sudo ufw enable
sudo iptables -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT

3.2.7 服务管理

sudo systemctl -f enable openvpn-server@server.service
sudo systemctl start openvpn-server@server.service
sudo systemctl status openvpn-server@server.service  # 确认状态为active

3.3 客户端配置

3.3.1 配置文件生成

mkdir -p ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
nano ~/client-configs/base.conf  # 修改关键参数：
                                # remote your_server_ip 1194
                                # user nobody
                                # group nobody
                                # 注释证书路径相关行
                                # 修改加密配置
                                # 添加：key-direction 1

nano ~/client-configs/make_config.sh  # 创建生成脚本（内容见原文）
chmod 700 ~/client-configs/make_config.sh
./make_config.sh desktop  # 生成客户端配置文件

3.3.2 客户端下载

• Windows: OpenVPN官方客户端
• macOS: Tunnelblick
• iOS: App Store搜索"OpenVPN Connect"
• Android: Google Play搜索"OpenVPN"

3.4 扩展客户端

重复执行3.2.4和3.2.9步骤即可添加新设备

3.5 服务器安全设置

• 在云服务商控制台开放UDP 1194端口

四、总结

本方案通过OpenVPN搭建个人虚拟局域网，实现：

• 内网穿透访问本地资源
• 数据完全自主可控
• 灵活扩展的访问权限管理

后续可扩展功能包括：媒体服务器集成、自动化脚本部署等。