自建 VPN 系列 第1篇 从 LetsVPN 停用至自建 WireGuard VPN 全流程复盘(附避坑指南)
作为一名长期依赖VPN进行海外资源访问、工作沟通的用户,近期经历了 LetsVPN 停用的突发状况,从备选方案碰壁到最终自建 WireGuard VPN 落地,过程中踩了不少坑,也积累了可复用的实操经验。本文将完整复盘整个流程,从 LetsVPN 停用通知、备选方案筛选,到自建 VPN 的全步骤(云服务器选择、部署、客户端安装配置),附上关键操作要点和避坑细节,供有同样需求的朋友参考。
一、突发状况:LetsVPN 全面停用,临时网络访问陷入困境
长期以来我一直在使用 LetsVPN 满足日常海外网络访问需求,尽管日常偶尔会出现网络波动、速度不稳的小问题,但整体可以正常使用,能够稳定支撑工作与学习需求。
进入四月中旬后,LetsVPN 开始出现明显异常:客户端虽偶尔可以勉强连接成功,但网络极不稳定,延迟高、丢包严重,网页加载卡顿频繁;后续问题持续恶化,多数时段完全无法正常建立连接,基本使用功能逐步失效。
直至四月月底,官方正式发布停运公告,明确宣布 LetsVPN 将终止面向中国大陆地区的全部业务运营,后续不再提供相关服务,同时账号续费、节点连接等功能全面关停。如图1:LetsVPN 官方大陆业务停运公告截图
自此,原有网络工具彻底失效,日常海外网站访问、资料查阅等刚需操作完全中断,正常的工作与学习节奏被严重打乱,急需尽快寻找稳定、可用的替代方案。
二、备选方案碰壁:企业版VPN门槛过高,放弃选择
面对 LetsVPN 停用的困境,我首先想到的是更换其他个人民用VPN(而非直接选择企业版),毕竟个人日常使用,民用VPN更贴合需求,但实际调研后发现,受政策因素影响,市面上绝大多数个人民用VPN都面临相同的合规问题,并非技术故障,而是政策层面的限制,导致多数民用VPN要么无法正常使用,要么随时可能停止服务,和 LetsVPN 的处境完全一致。权衡之下,才转而考虑企业版VPN,而非一开始就放弃民用VPN选择企业版——这里需要明确区分: LetsVPN 本身属于个人民用商业VPN,并非企业版,此次调研后发现,所有个人民用商业VPN(无论是否收费),都受政策限制,无法长期稳定使用,这才不得不放弃个人民用VPN,转而调研企业版VPN。
但深入了解后发现,企业版VPN存在两个无法逾越的门槛:一是价格偏高,主流企业版VPN的月费、年费远超个人承受范围,对于个人用户而言性价比极低;二是资质要求严格,开通企业版VPN必须提供企业营业执照、法人信息等相关资质,个人用户根本无法满足,最终只能放弃企业版VPN的选择,转而确定自建 WireGuard VPN 这一方案。(如图2:企业版VPN资质要求截图)
三、最终决定:自建 WireGuard VPN ,掌握主动权
个人民用VPN受政策限制无法长期稳定使用,企业版VPN门槛过高(资质、价格双重限制),权衡之下,我最终决定自建VPN,且明确选择 WireGuard 协议,而非其他开源VPN软件。WireGuard 相比其他主流开源VPN软件,有不可替代的优势,这也是我放弃其他开源VPN、选择 WireGuard 的关键,具体优势如下:
- 轻量高效,资源占用极低:相比 OpenVPN、SoftEther 等其他开源VPN软件,WireGuard 无需复杂的服务端配置,内核级别的实现让它占用的服务器内存、CPU资源极少,即便是低配云服务器(1核1G),也能稳定运行,不会出现卡顿、资源不足的问题,这对于个人自建场景来说,适配性极强。
- 连接稳定,延迟更低:WireGuard 采用极简的加密传输机制,没有多余的冗余配置,连接响应速度快,且不易出现断连、卡顿问题,对比其他开源VPN(如 OpenVPN ),延迟能降低30%以上,尤其适合观看高清视频、浏览海外网页等场景,这也是我优先选择它的核心原因。
- 配置简单,无需复杂操作:不同于其他开源VPN软件(如 OpenVPN 需要手动配置路由、证书等),WireGuard 的配置逻辑更简洁,只需导入配置文件、开启开关即可使用,无需深入了解底层原理,对非专业用户更友好,契合我当时的需求。
- 兼容性强,多设备支持友好:WireGuard 支持多设备同时连接(只需为不同设备生成独立配置),且适配电脑、手机等多种终端,无需额外安装复杂的插件,就能实现多设备同时在线,这是很多其他开源VPN软件难以实现的。
- 规避政策风险,适配个人场景:其他开源VPN软件(如 OpenVPN )多适用于企业或专业用户,配置繁琐且部分功能受政策限制,而 WireGuard 的协议设计更贴合个人使用场景,无需复杂的资质审核,自建部署即可规避商业VPN的政策限制,同时兼顾稳定性和安全性。
综合来看,WireGuard 不仅是开源免费的,更贴合我“个人使用、稳定流畅、操作简单”的核心需求,相比其他开源VPN软件,它更轻量化、更适配个人自建场景,因此最终选择用WireGuard搭建个人VPN,而非其他开源VPN软件。
自建VPN的核心思路的是:选择靠谱的云服务商部署服务器,在服务器上安装 WireGuard 服务,再为电脑、手机配置客户端,实现多设备同时稳定连接,整个过程分为“云服务器选择与部署”“WireGuard服务安装”“客户端配置”三大环节,下面逐一拆解实操步骤。
四、自建 WireGuard VPN 全流程实操(附避坑细节)
4.1 第一步:选择云服务商,部署基础服务器
自建VPN的核心是拥有一台海外云服务器,结合个人使用需求(稳定性、性价比、操作便捷性),对比了 Vultr、DigitalOcean、Hetzner 等主流海外云服务商后,最终选择了 Vultr:全球节点分布广,支持按小时计费,入门级服务器(1核1G内存、500G流量)月费仅5美元,且支持IPv6,部署速度快,适合个人自建VPN使用。
具体部署步骤
1. 注册 Vultr 账号,完成实名认证后,进行充值操作:优先选择支付宝支付,充值金额为10美元(满足入门级服务器最低使用需求,后续可根据使用时长补充充值),充值完成后确认到账。如图3
2. 创建服务器:登录 Vultr 账号后,按照路径 Compute – Instances – Deploy Server 进入服务器部署页面(如图4),具体配置选择如下:
– 节点选择:优先选择新加坡节点(距离中国大陆较近,网络延迟低、速度更稳定);
– 服务器类型:选择 Shared CPU(共享CPU,满足日常使用需求,性价比高);
– 套餐选择:每月5美元的入门级配置(无需过高配置,足以支撑 WireGuard 运行);
– 其他设置:自动备份功能选择“禁用”(降低使用成本,日常可手动备份关键配置);如图5
– 操作系统:选择 Ubuntu 22.04(兼容性更强,WireGuard 安装流程更顺畅,避免版本过高或过低导致的安装冲突);如图6
– 其余配置保持默认,确认无误后点击“创建”,等待服务器部署完成(通常耗时1-3分钟)。
3. 服务器创建完成后,及时记录服务器核心信息:公网IP、默认登录账号(默认账号为 root)和登录密码,这些信息是后续 SSH 远程登录、配置 WireGuard 的关键,切勿遗漏。
4. 配置防火墙规则:进入Vultr后台,按照路径 Network – Firewall Groups,点击“新建防火墙组”,命名为 wg-work(便于识别,与 WireGuard 配置对应);创建完成后,在该防火墙组下新建2条规则,确保后续操作正常进行,具体规则如下:
– 规则1:协议选择TCP,端口填写22,备注为“SSH 远程管理”(用于后续SSH登录服务器,进行配置操作);
– 规则2:协议选择UDP,端口填写51820,备注为“WireGuard 核心端口”(WireGuard 运行的核心端口,必须开放,否则无法正常连接)。如图7
避坑细节:
1.选择服务器节点时,尽量避开被墙的节点,可提前通过在线工具查询节点IP的可用性,避免部署后无法访问;
2.创建服务器时,严格选择Ubuntu 22.04系统,不要使用过高或过低版本,减少后续WireGuard安装过程中的软件冲突;
3.防火墙规则必须准确配置,两条规则缺一不可,否则会导致SSH无法登录或 WireGuard 无法正常使用;
4.充值时优先选择支付宝,操作更便捷,且10美元足以支撑入门级服务器使用1-2个月,避免过度充值造成浪费。
4.2 第二步:登录服务器,安装 WireGuard 服务
服务器部署完成后,需要通过SSH登录服务器,安装并配置 WireGuard 服务,具体步骤如下:
1. SSH登录服务器:使用电脑终端(Windows 用 PowerShell或者终端、Linux/macOS用终端),输入命令 ssh root@服务器公网IP,输入服务器密码,完成登录(首次登录会提示确认密钥,输入yes即可);
2. 安装 WireGuard 服务:一键安装 WireGuard(直接整块复制粘贴执行)(如图8:WireGuard安装脚本截图)
apt update -y && apt install curl wget sudo -y
curl -O https://raw.githubusercontent.com/angristan/wireguard-install/master/wireguard-install.sh
chmod +x wireguard-install.sh
./wireguard-install.sh
3. 配置 WireGuard 服务:脚本执行完成后,会弹出菜单,选择“1) Add a new user”,输入客户端名称(如job,用于电脑客户端),后续全部按回车默认配置,脚本会自动生成客户端配置文件和服务器配置,完成服务部署。(如图9:客户端配置生成完成截图)
4. 规则2:需要删除掉之前的 51820,然后重新根据实际端口添加。协议选择UDP,端口填写57586,备注为“WireGuard 核心端口”(WireGuard 运行的核心端口,必须开放,否则无法正常连接)如图10
5. 如果终端连接超时,有时候可以在 Vultr 的网页终端中连接,此时连接需要手动输入 root 对应的密码。如图11
4.3 第三步:安装客户端,解决官方客户端下载难题
WireGuard 服务部署完成后,需要在电脑和手机上安装对应客户端,才能成功连接VPN使用。但此时遇到了最棘手、耗时最久的问题:本地电脑尚未配置好VPN连接,无法访问 WireGuard 官方网站(wireguard.com),导致无法直接下载官方客户端,后续所有操作都陷入停滞,为此尝试了多种解决方案,花费了大量时间排查调试。
针对客户端下载难题,先后尝试了三种解决方案,分别是:在已部署好的服务器上配置下载服务、通过 base64 编码方式传输安装包、寻找第三方可靠客户端,但前两种方案操作繁琐且存在兼容性问题,第三方客户端又存在安全隐患,均未达到理想效果。最终,借助手机上 LetsVPN 偶尔能勉强连接的临时状态,才成功解决了所有设备的客户端下载问题,这也是整个部署流程中最耗时、最关键的一步。
针对不同设备,具体下载和安装方式如下,同时为避免后续用户遇到同样的下载难题,我会将电脑(Windows系统)和手机(Android系统)对应的 WireGuard 官方客户端安装包,上传至我的个人博客,并提供专属下载链接,方便大家直接获取,无需重复尝试各种复杂方案。
(1)电脑客户端安装(Windows系统)
核心解决路径:借助手机 LetsVPN 临时连接的网络,在手机网页端访问 WireGuard 官方下载页面(如图13),下载Windows系统客户端安装包(wireguard-amd64-1.0.1.msi,如图14),再通过手机与电脑的文件传输功能(如微信、QQ、数据线),将安装包传输至电脑,避免了本地电脑无法访问官方站点的问题。
补充备用方案(若上述方式无法实现):
- 方案1:利用 http 下载服务,通过已部署好的 WireGuard 服务器搭建临时下载服务,具体操作步骤为:在服务器端执行命令 python3 -m http.server 80,当终端显示“Serving HTTP on 0.0.0.0 port 80”时,说明下载服务已成功启动;随后在本地浏览器直接输入链接 http://139.180.154.26/wireguard-installer.exe,即可下载 WireGuard 客户端安装包。需特别说明的是,实际操作中发现,在国内网站中,并未找到可直接下载 wireguard-installer.exe 的站点,因此该服务器搭建的 http 下载服务是方案1的核心实现方式,避免访问 https 官方站点及国内无可用资源的问题。
python3 -m http.server 8080
- 方案2:若 http 链接(http://139.180.154.26:8080/wireguard-installer.exe)无法访问,可通过 base64 编码的方式,将客户端安装包编码后传输到电脑,再解码安装(该方法适用于所有无法直接下载的场景,操作稍复杂,但成功率高)。
安装过程:双击下载的安装包,一路下一步,弹出Windows防火墙提示时,务必点击“允许访问”(否则无法创建网络适配器,影响后续连接),安装完成后自动打开客户端。(如图12:电脑客户端 base64 文档及转换后的安装包截图)注:wireguard-installer.exe 安装包仍然需要在安装过程中连接 WireGuard 官网,所以如果要 base64 的话,需要使用 wireguard-amd64-1.0.1.msi 才行了。
# 下载官方 64 位安装包
wget https://download.wireguard.com/windows-client/wireguard-installer.exe
# 校验一下文件大小,正常约 12MB 左右
ls -lh wireguard-installer.exe
# 服务器上执行
base64 wireguard-installer.exe > wg.txt
# 把 wg.txt 内容全选复制到本地
$b = Get-Content C:\Users\你的用户名\Desktop\wg.txt
[IO.File]::WriteAllBytes("C:\Users\你的用户名\Desktop\wireguard-installer.exe", [Convert]::FromBase64String($b))
(2)手机客户端安装(iOS/Android)
下载流程:借助手机上 LetsVPN 临时可用的状态,完成客户端下载,具体步骤如下:
1. 临时连接 LetsVPN (偶尔能成功连接,虽网络不稳定,但足以完成客户端下载操作);
2. 连接成功后,立即访问 WireGuard 官方移动端下载页面,下载对应系统的客户端(iOS从App Store下载,Android从Google Play或官方站点下载);
3. 下载完成后,及时断开 LetsVPN 连接,安装客户端,等待后续配置即可。
避坑细节:
1.下载客户端时,务必选择官方版本,避免下载第三方修改版,防止出现安全隐患、连接失败等问题;
2.电脑安装客户端时,若提示“安装失败”,需先关闭电脑杀毒软件,再重新尝试安装;
3.为方便大家快速获取客户端,避免重复踩坑,我已将电脑、手机对应的官方安装包上传至个人博客,后续可直接通过博客链接下载;
4.手机连接 LetsVPN 下载时,若出现连接中断,可多次尝试重新连接,优先选择信号相对稳定的节点,确保下载完成。
4.4 第四步:配置客户端,实现电脑、手机同时连接
客户端安装完成后,需要导入服务器生成的配置文件,才能连接VPN,且电脑和手机需使用独立的配置文件(避免冲突),具体步骤如下:
(1)电脑客户端配置
- 在服务器上,找到电脑客户端(job)的配置文件,复制配置内容(可通过命令 cat /etc/wireguard/clients/job.conf 查看);
- 打开电脑上的 WireGuard 客户端,点击“新建遂道 → 新建空遂道”,删除默认内容,粘贴复制的配置,点击“保存”,命名为“Vultr-WG”(便于识别);
- 点击配置右侧的“Activate”,等待1秒,显示“Connected”,即表示电脑客户端配置完成,可正常访问海外网站。(如图15:电脑VPN连接成功截图)
(2)手机客户端配置(解决多设备冲突问题)
初期尝试将电脑的配置文件导入手机,发现可以同时连接,但是连接不稳定(WireGuard 不允许两个设备使用同一个配置,会出现抢IP、掉线问题),因此需要为手机生成独立的配置文件:
- SSH登录服务器,执行命令 bash wireguard-install.sh,选择“1) Add a new user”,输入客户端名称(如phone),按回车默认配置,生成手机专属配置文件;(如图16:手机VPN连接二维码截图)
- 也可复制手机配置文件内容,通过微信文件传输、数据线等方式,将配置文件传到手机(命名为 phone.conf,避免名称无效报错);
- 打开手机 WireGuard 客户端,点击右上角“+”,选择“导入配置或压缩包”,找到传输的phone.conf文件,完成导入;或者扫描二维码;
- 弹出VPN权限请求时,点击“允许”,打开配置右侧的开关,显示“Connected”,即表示手机客户端配置完成。(如图17:手机VPN连接成功截图)
(3)验证连接效果
电脑和手机同时连接VPN,打开浏览器访问ip.cn,查看公网IP是否与服务器公网IP一致(所在地理位置皆显示新加坡);访问YouTube,测试1080p视频播放流畅度,确认无卡顿、无掉线,多设备同时连接正常,无冲突。(如图18:手机打开 Google Play 商店截图)
五、客户端安装包下载链接(避坑专用)
如前文所述,本地未连接VPN时,无法直接访问 WireGuard 官方站点下载客户端,且国内网站无可用的 wireguard-amd64-1.0.1.msi 下载资源,为彻底解决大家的下载难题,避免重复踩坑,我已将电脑、手机对应的 WireGuard 官方客户端安装包,全部上传至个人博客,提供专属下载链接,无需复杂操作,直接点击即可获取。
具体下载链接如下(均为官方原版安装包,无第三方修改,安全无隐患):
- 电脑端(Windows系统):(对应安装包:wireguard-amd64-1.0.1.msi)
- 手机端(Android系统):(官方原版,适配各类Android机型)
补充说明:若链接出现无法访问、下载失败的情况(如出现“网页解析失败,可能是不支持的网页类型,请检查网页或稍后重试”等报错),可通过前文4.3中提到的备用方案(服务器搭建http下载服务、base64编码传输)尝试解决,或联系我更新链接。
六、总结与后续优化建议
5.1 整个流程复盘
从 LetsVPN 停用,到企业版VPN碰壁,再到自建 WireGuard VPN 成功,整个过程虽有波折,但最终实现了多设备同时稳定连接,总结核心流程如下:
LetsVPN 停用 → 调研企业版VPN(资质+价格门槛过高,放弃) → 决定自建 WireGuard VPN → 选择 Vultr 云服务商,部署服务器 → 安装 WireGuard 服务,生成客户端配置 → 解决官方客户端下载难题(http下载服务、base64、 LetsVPN 临时连接) → 配置电脑、手机独立客户端 → 验证连接效果,实现稳定使用。
5.2 避坑总结(重点)
- 云服务器选择:优先选择距离近、性价比高的节点,系统选择 Ubuntu 22.04,减少安装冲突;
- 客户端下载:未连接VPN时,无法访问官方站点,可通过http下载、base64、临时VPN等方式获取安装包;
- 多设备配置:电脑和手机需使用独立的配置文件,避免同一份配置导致的冲突、掉线问题;
- 脚本使用:优先使用服务器自带的一键安装脚本,若脚本失效,可重新下载官方脚本,避免手动配置出错。
5.3 后续优化建议
- 优化MTU配置:若出现连接稳定但速度较慢的情况,可使用nr-wg-mtu-finder工具,找到最优MTU值,提升传输速度;
- 定期备份配置:将服务器和客户端的配置文件备份到本地,避免服务器故障导致配置丢失;
- 新增设备:若后续需要添加平板、备用机等设备,可再次执行一键脚本,新增客户端配置,无需重新部署服务器。
自建VPN虽然需要一定的实操步骤,但一旦部署完成,整体稳定性与使用灵活性远超各类商业VPN。不仅无需担心服务商停运、资质管控、节点限流与高额订阅费用,还能从根本上保障个人网络隐私数据安全。注:以前使用的 LetsVPN 费用为 8 美元/月,现在的自建 VPN 费用为 5 美元/月,后续如果网络需要提升的话,可以自主增加带宽了。
第三方商业VPN服务商存在用户上网行为记录、数据收集与隐私泄露的风险,而自建服务全程由自己掌控服务器与配置,流量全程自主管理,无第三方中间环节窃取、留存上网数据,隐私性更强。
希望本文的完整复盘与避坑经验,能帮助有需要的朋友少走弯路,快速完成 WireGuard 自建VPN部署,稳定解决日常海外网络访问需求。
不会