虚拟局域网VPN部分配置与说明

type

status

date

slug

summary

一，部分VPN概念介绍

1，两者关键概念

（1）P2P VPN（去中心化组网）

工作模式：点对点（Peer-to-Peer）架构

特点：

去中心化：客户端之间直接通信（P2P）

协调服务器只用于帮助建立连接（打洞）

建立连接后，数据不经过服务器（更快、更私密）

没有单点故障

（2）OpenVPN（传统网络层）

工作模式：客户端-服务器（C/S）架构

特点：

中心化架构：所有流量必须经过 VPN 服务器

所有客户端通过服务器中转通信

服务器需要有公网 IP 和较高带宽

服务器成为单点故障

（3）类VPN（代理/传输隧道类）

架构：客户端-服务端（C/S）

特点：

传输与伪装：把流量封装成常见公网协议的样子,以提升抗审查与可达性

鉴权：预共享密钥、UUID、公钥参数等，轻量快速

路由形态：默认“代理转发”而非子网路由

NAT 穿透：依赖公网服务器承接入站，建立后数据仍经服务器中转

2，连接流程

（1）P2P VPN

特点：

去中心化：客户端之间直接通信（P2P）

客户端间直接通信（延迟低、速度快），服务器负载极低

默认只能访问对方的宿主机网络

使用场景（游戏联机）：

分布式多节点直连、低延迟：P2P（EasyTier/Tailscale/ZeroTier）

需要低延迟、高速的点对点通信

分布式组网（多个设备互联）

简单易用，不想配置证书

没有高带宽公网服务器

需要无单点故障的网络

（2）OpenVPN

特点：

可以访问服务器后面的整个内部网络

所有流量都经过服务器（慢、耗带宽）

使用场景（完全内网访问）：

标准内网互访/细粒度路由：OpenVPN/WireGuard

需要完整的内网访问

有固定公网 IP 和充足带宽的服务器

企业环境，需要集中管理和审计

（3）加密代理

使用场景：

强伪装/低时延网页与应用：VLESS-REALITY-Vision

需要隐藏源站、走边缘/CDN：VMess-WS(TLS)+Argo

移动/跨境/高丢包场景：Hysteria 2 或 TUIC v5

3，相互对比

特性	OpenVPN	P2P VPN	VLESS-REALITY	VMess-WS(TLS)/Argo	Hysteria 2	TUIC v5
架构	客户端-服务器	点对点 (P2P)	代理/传输隧道	代理/传输隧道	代理/传输隧道	代理/传输隧道
数据传输	所有流量经过服务器	客户端间直接连接（NAT 穿透后）	C/S	C/S（可经 CDN/Argo）	C/S	C/S
延迟	较高（需绕道服务器）	低（直连）	低	中（经 CDN 更稳但略增时延）	低-中（弱网稳）	低-中
带宽消耗	服务器带宽压力大	分散到各个节点	低	相对更高（WS+TLS）	低（高效）	低
服务器要求	需要高带宽公网服务器	仅需轻量协调服务器（或用官方）	放通 TCP	域名+TLS；Argo 需 cloudflared	放通 UDP	放通 UDP
扩展性	受服务器性能限制	易扩展（每个节点独立）	多入口可扩	CDN/Argo 弹性强	常规横向	常规横向
单点故障	服务器挂掉全网中断	无单点故障	单节点需冗余	边缘分担但源站需冗余	单节点需冗余	单节点需冗余
配置复杂度	较复杂（需证书管理）	简单（只需网络名+密码）	中	中-偏高	中	中
适用场景	需要集中管理的企业网络	分布式、家庭组网、远程访问	强伪装+低时延	隐源/网站外观	弱网/跨境/游戏	弱网/跨境/低时延

二，Easytier（P2P VPN）部署

1，通过Docker公网服务器部署

请提前在服务商防火墙和设备防火墙放行11010（TCP/UDP）端口

（1）Docker Compose配置文件部署

（2）Portainer 部署

Name ：easytier

Image ：easytier/easytier:latest

① Commands & logging ：

Command ：

Override '-i' '静态 IP 地址' '--network-name' '网络名称' '--network-secret' '网络密码'

Working Dir ：/app

② Volumes ：

Volume mapping ：

container ：/etc/machine-id （bind） →

host ：/etc/machine-id (Writable)

container ：/root（bind） →

host ：/home/www/docker/easytier (Writable)

③ Network：

Network：host

Hostname：easytier

④ Env：

Environment variables：

TZ：Asia/Shanghai

⑤ Restart policy：Always

⑥ Runtime & resources：

Runtime:

Privileged mode：True

其余保持默认

随后点击 Deploy the Container 运行

2，客户端下载配置

（1）相关下载链接

官网主页：https://easytier.cn/

下载教程：https://easytier.cn/guide/download.html

下载链接：https://github.com/EasyTier/EasyTier/releases

（2）配置网络

基础设置：

网络名称：network-name

网络密码：network-secret

网络方式：独立

tcp://静态 IP 地址:11010 udp://静态 IP 地址:11010

其余保持默认，点击运行网络即可

（3）推荐其他软件

基于easytier的AstralGame 游戏联机工具：

https://easytier.cn/guide/gui/astral-game.html

无需配置公网服务器，可直接运行

3，参考来源：

https://linux.do/t/topic/1088894

三，OpenVPN部署

1，一键部署脚本：

首先在你的 Linux 服务器上下载脚本：

一个云服务器，虚拟专用服务器 (VPS) 或者专用服务器。

选项 1: 使用默认选项自动安装 OpenVPN。

对于有外部防火墙的服务器，请为 VPN 打开 UDP 端口 1194。

选项 2: 使用自定义选项进行交互式安装。

你可以自定义以下选项：VPN 服务器的域名，协议 (TCP/UDP) 和端口，VPN 客户端的 DNS 服务器以及第一个客户端的名称。

对于有外部防火墙的服务器，请为 VPN 打开所选的 TCP 或 UDP 端口。

2，客户端下载配置

（1）相关下载链接

网站主页：https://openvpn.net/client/

（2）配置网络

配置：

从VPS的/root 目录下获得.ovpn后缀的配置文件，并使用OpenVPN打开即可

3，脚本来源：

openvpn-install

hwdsl2 • Updated Nov 15, 2025

四，加密代理部署

1，一键部署脚本：

一键脚本如下：快捷方式：sb

或者

2，部署脚本说明

(1)防火墙设置

上述部署脚本有一个问题，即使第一次选择跳过防火墙设置，该脚本依旧会默认卸载Linux防火墙，在随后需要重新安装。

此处以Debian系统的ufw防火墙为例：

（2）申请letsencrypt ECC证书

第二个步骤，选择域名，然后填入已经指向该IP的域名（子域名），选择80端口模式，脚本会自动安装acme.sh并申请证书。

（3）设置各服务端口

由于Vmess-ws-tls可以使用cloudflare CDN，因此推荐该服务设置端口为2096

其余保持随机，因为此处我只用Vmess-ws-tls，所以仅开放2096端口，其余弃用。

随后键入脚本代码sb，选择3-8-1选项设置Cloudflare优选CDN

3. 变更配置【双证书TLS/UUID路径/Argo/IP优先/TG通知/Warp/订阅/CDN优选】 →

8：设置所有Vmess节点的CDN优选地址 →

1：自定义Vmess-ws(tls)主协议节点的CDN优选地址

随后键入自定义的优选IP/域名(IP解析到CF上的域名)，确保VPS的IP已解析到Cloudflare的域名。

然后重新输入脚本sb，选择9-1选项重新更新配置

9. 刷新并查看节点【Clash-Meta/SFA+SFI+SFW三合一配置/订阅链接/推送TG通知】 →

1：刷新并查看各协议分享链接、二维码、四合一聚合订阅

3，客户端下载配置

V2RayNG:https://github.com/2dust/v2rayNG/releases

（2）配置网络

详见：DNS加密、认证与隐私保护

4，脚本来源：

脚本视频教程：https://www.youtube.com/playlist?list=PLMgly2AulGG_Affv6skQXWnVqw7XWiPwJ

脚本博客说明：http://ygkkk.blogspot.com/2023/10/sing-box-yg.html

脚本项目地址：https://github.com/yonggekkk/sing-box-yg