虚拟局域网VPN部分配置与说明

🤖

AI总结本篇文章梳理了 P2P VPN（EasyTier）、传统 OpenVPN 与加密代理（VLESS-REALITY、VMess-WS、Hysteria 2、TUIC v5）三类方案在架构、延迟、带宽、扩展性、单点故障与配置难度上的差异，并给出基于 Docker/Portainer 的 EasyTier 公网节点部署示例、OpenVPN 一键脚本及 sing-box 加密代理快速安装命令，帮助读者按“游戏联机—P2P、企业内网—OpenVPN、强伪装跨境—加密代理”场景选择合适工具，同时提供客户端下载与配置要点，实现即配即用。

English Version

This article compares P2P VPN (EasyTier), classic OpenVPN and encrypted proxies (VLESS-REALITY, VMess-WS, Hysteria 2, TUIC v5) across architecture, latency, bandwidth, scalability, SPOF and setup complexity, then offers a ready-to-run EasyTier public-node recipe via Docker/Portainer, a one-command OpenVPN script and a sing-box proxy installer, mapping each solution to its sweet spot—P2P for gaming, OpenVPN for corporate intranets, encrypted proxies for censorship-resistant cross-border access—while giving download links and client tips for immediate use.

一，部分VPN概念介绍

1，两者关键概念

（1）P2P VPN（去中心化组网）

工作模式：点对点（Peer-to-Peer）架构

plain


客户端A ←────直接连接────→ 客户端B
    ↓                        ↓
    └──> 协调服务器（仅用于打洞和发现）

特点：

去中心化：客户端之间直接通信（P2P）

协调服务器只用于帮助建立连接（打洞）

建立连接后，数据不经过服务器（更快、更私密）

没有单点故障

（2）OpenVPN（传统网络层）

工作模式：客户端-服务器（C/S）架构

plain


客户端A ──┐
          ├──> OpenVPN 服务器（中心节点）──> 内部网络
客户端B ──┘

特点：

中心化架构：所有流量必须经过 VPN 服务器

所有客户端通过服务器中转通信

服务器需要有公网 IP 和较高带宽

服务器成为单点故障

（3）类VPN（代理/传输隧道类）

架构：客户端-服务端（C/S）

特点：

传输与伪装：把流量封装成常见公网协议的样子,以提升抗审查与可达性

鉴权：预共享密钥、UUID、公钥参数等，轻量快速

路由形态：默认“代理转发”而非子网路由

NAT 穿透：依赖公网服务器承接入站，建立后数据仍经服务器中转

2，连接流程

（1）P2P VPN

plain


1. 客户端连接到协调服务器（或官方服务器）
2. 协调服务器帮助 NAT 穿透（打洞）
3. 客户端之间建立直接连接
4. 数据不再经过协调服务器

初始连接：
客户端A ──> 协调服务器 <── 客户端B
            (仅交换地址信息)

建立连接后：
客户端A ←────UDP/TCP 直连────→ 客户端B
            (数据不经过服务器)

特点：

去中心化：客户端之间直接通信（P2P）

客户端间直接通信（延迟低、速度快），服务器负载极低

默认只能访问对方的宿主机网络

使用场景（游戏联机）：

分布式多节点直连、低延迟：P2P（EasyTier/Tailscale/ZeroTier）

需要低延迟、高速的点对点通信

分布式组网（多个设备互联）

简单易用，不想配置证书

没有高带宽公网服务器

需要无单点故障的网络

（2）OpenVPN

plain


1. 客户端连接到 OpenVPN 服务器（需公网 IP）
2. 服务器验证证书/用户名密码
3. 分配虚拟 IP（如 10.8.0.2）
4. 所有流量经过服务器转发

客户端A (10.8.0.2) ──> OpenVPN 服务器 (10.8.0.1) ──> 客户端B (10.8.0.3)
         ↑                     ↑                      ↑
      数据包              中转所有流量              数据包

特点：

可以访问服务器后面的整个内部网络

所有流量都经过服务器（慢、耗带宽）

使用场景（完全内网访问）：

标准内网互访/细粒度路由：OpenVPN/WireGuard

需要完整的内网访问

有固定公网 IP 和充足带宽的服务器

企业环境，需要集中管理和审计

（3）加密代理

plain


1. 客户端向服务器指定端口发起握手（TLS/WS/QUIC 等伪装握手+认证）
2. 双方建立加密会话，开启多路复用
3. 客户端将本机/浏览器/系统流量导入隧道（直连代理或通过 TUN）
4. 服务端按协议将流量转发到公网或目标内网

使用场景：

强伪装/低时延网页与应用：VLESS-REALITY-Vision

需要隐藏源站、走边缘/CDN：VMess-WS(TLS)+Argo

移动/跨境/高丢包场景：Hysteria 2 或 TUIC v5

3，相互对比

特性	OpenVPN	P2P VPN	VLESS-REALITY	VMess-WS(TLS)/Argo	Hysteria 2	TUIC v5
架构	客户端-服务器	点对点 (P2P)	代理/传输隧道	代理/传输隧道	代理/传输隧道	代理/传输隧道
数据传输	所有流量经过服务器	客户端间直接连接（NAT 穿透后）	C/S	C/S（可经 CDN/Argo）	C/S	C/S
延迟	较高（需绕道服务器）	低（直连）	低	中（经 CDN 更稳但略增时延）	低-中（弱网稳）	低-中
带宽消耗	服务器带宽压力大	分散到各个节点	低	相对更高（WS+TLS）	低（高效）	低
服务器要求	需要高带宽公网服务器	仅需轻量协调服务器（或用官方）	放通 TCP	域名+TLS；Argo 需 cloudflared	放通 UDP	放通 UDP
扩展性	受服务器性能限制	易扩展（每个节点独立）	多入口可扩	CDN/Argo 弹性强	常规横向	常规横向
单点故障	服务器挂掉全网中断	无单点故障	单节点需冗余	边缘分担但源站需冗余	单节点需冗余	单节点需冗余
配置复杂度	较复杂（需证书管理）	简单（只需网络名+密码）	中	中-偏高	中	中
适用场景	需要集中管理的企业网络	分布式、家庭组网、远程访问	强伪装+低时延	隐源/网站外观	弱网/跨境/游戏	弱网/跨境/低时延

二，Easytier（P2P VPN）部署

1，通过Docker公网服务器部署

请提前在服务商防火墙和设备防火墙放行11010（TCP/UDP）端口

（1）Docker Compose配置文件部署

yaml


services:
  easytier:
    image: easytier/easytier:latest
    hostname: easytier
    container_name: easytier
    restart: unless-stopped
    network_mode: host
    cap_add:
      - NET_ADMIN
      - NET_RAW
    environment:
      - TZ=Asia/Shanghai
    devices:
      - /dev/net/tun:/dev/net/tun # 建议使用，用于映射宿主机 tun 设备到本地，相当于模拟一个三级交换机，以拦截处理局域网地址
    volumes:
      - /etc/easytier:/root # 可选，用于在 Docker 容器外部也能使用 Easytier 的命令行
      - /etc/machine-id:/etc/machine-id:ro # 便于 Easytier 读取宿主机的真实主机名
    command: -i "静态 IP 地址" --network-name "网络名称" --network-secret "网络密码" -l 11010
    # 如果不需要这台机器有静态 IP 地址，以上的 -i "xxx" 可以换成 -d，以分配动态 IP 地址；如果不设置则不分配具体地址
    # 如果需要指定自定义主机名，可以补充参数 --hostname "自定义英文主机名"
    # network-secret 参数用于加密服务器，如果不设置则准许任何人加入网络
    # -l 参数用于指定监听端口（即 11010，同时监听 TCP 与 UDP）

（2）Portainer 部署

Name ：easytier

Image ：easytier/easytier:latest

① Commands & logging ：

Command ：

Override '-i' '静态 IP 地址' '--network-name' '网络名称' '--network-secret' '网络密码'

Working Dir ：/app

② Volumes ：

Volume mapping ：

container ：/etc/machine-id （bind） →

host ：/etc/machine-id (Writable)

container ：/root（bind） →

host ：/home/www/docker/easytier (Writable)

③ Network：

Network：host

Hostname：easytier

④ Env：

Environment variables：

TZ：Asia/Shanghai

⑤ Restart policy：Always

⑥ Runtime & resources：

Runtime:

Privileged mode：True

其余保持默认

随后点击 Deploy the Container 运行

2，客户端下载配置

（1）相关下载链接

官网主页：https://easytier.cn/

下载教程：https://easytier.cn/guide/download.html

下载链接：https://github.com/EasyTier/EasyTier/releases

（2）配置网络

基础设置：

网络名称：network-name

网络密码：network-secret

网络方式：独立

tcp://静态 IP 地址:11010 udp://静态 IP 地址:11010

其余保持默认，点击运行网络即可

（3）推荐其他软件

基于easytier的AstralGame 游戏联机工具：

https://easytier.cn/guide/gui/astral-game.html

无需配置公网服务器，可直接运行

3，参考来源：

https://linux.do/t/topic/1088894

三，OpenVPN部署

1，一键部署脚本：

首先在你的 Linux 服务器上下载脚本：

plain


wget -O openvpn.sh https://get.vpnsetup.net/ovpn

一个云服务器，虚拟专用服务器 (VPS) 或者专用服务器。

选项 1: 使用默认选项自动安装 OpenVPN。

plain


sudo bash openvpn.sh --auto

对于有外部防火墙的服务器，请为 VPN 打开 UDP 端口 1194。

选项 2: 使用自定义选项进行交互式安装。

plain


sudo bash openvpn.sh

你可以自定义以下选项：VPN 服务器的域名，协议 (TCP/UDP) 和端口，VPN 客户端的 DNS 服务器以及第一个客户端的名称。

对于有外部防火墙的服务器，请为 VPN 打开所选的 TCP 或 UDP 端口。

2，客户端下载配置

（1）相关下载链接

网站主页：https://openvpn.net/client/

（2）配置网络

配置：

从VPS的/root 目录下获得.ovpn后缀的配置文件，并使用OpenVPN打开即可

3，脚本来源：

openvpn-install

hwdsl2 • Updated Jan 8, 2026

四，加密代理部署

1，一键部署脚本：

一键脚本如下：快捷方式：sb

plain


bash <(wget -qO- https://raw.githubusercontent.com/yonggekkk/sing-box-yg/main/sb.sh)

或者

plain


bash <(curl -Ls https://raw.githubusercontent.com/yonggekkk/sing-box-yg/main/sb.sh)

2，部署脚本说明

(1)防火墙设置

上述部署脚本有一个问题，即使第一次选择跳过防火墙设置，该脚本依旧会默认卸载Linux防火墙，在随后需要重新安装。

此处以Debian系统的ufw防火墙为例：

bash


# 安装ufw
apt-get update && apt-get install ufw

# 检查ufw状态
sudo ufw status

# 启用ufw
sudo ufw enable

# 禁用ufw
sudo ufw disable

# 列出当前UFW规则
ufw status verbose

# 允许入站(allow)
ufw allow port/tcp
ufw allow port/udp

# 拒绝访问(deny)
ufw deny port/tcp
ufw deny port/udp

# 删除规则
ufw delete allow port/tcp
ufw delete allow port/udp

（2）申请letsencrypt ECC证书

第二个步骤，选择域名，然后填入已经指向该IP的域名（子域名），选择80端口模式，脚本会自动安装acme.sh并申请证书。

（3）设置各服务端口

由于Vmess-ws-tls可以使用cloudflare CDN，因此推荐该服务设置端口为2096

bash


🚀【 Vless-reality 】端口:<port>  Reality域名证书伪装地址：www.yahoo.com
🚀【 Vmess-ws-tls  】端口:2096   证书形式:TLS开启   Argo状态:不支持开启
🚀【  Hysteria-2   】端口:<port>  证书形式:域名证书  转发多端口: 未添加
🚀【    Tuic-v5    】端口:<port>  证书形式:域名证书  转发多端口: 未添加

其余保持随机，因为此处我只用Vmess-ws-tls，所以仅开放2096端口，其余弃用。

随后键入脚本代码sb，选择3-8-1选项设置Cloudflare优选CDN

3. 变更配置【双证书TLS/UUID路径/Argo/IP优先/TG通知/Warp/订阅/CDN优选】 →

8：设置所有Vmess节点的CDN优选地址 →

1：自定义Vmess-ws(tls)主协议节点的CDN优选地址

随后键入自定义的优选IP/域名(IP解析到CF上的域名)，确保VPS的IP已解析到Cloudflare的域名。

其中CF优选的域名可以参考：isp.qzz.io CF优选域名

然后重新输入脚本sb，选择9-1选项重新更新配置

9. 刷新并查看节点【Clash-Meta/SFA+SFI+SFW三合一配置/订阅链接/推送TG通知】 →

1：刷新并查看各协议分享链接、二维码、四合一聚合订阅