在云主机上搭建VPN时,端口的选择和配置是关键步骤之一,以下是常见VPN协议及其默认端口,以及配置时的注意事项:
常见VPN协议及默认端口
-
OpenVPN
- 默认端口:
1194/UDP(常用),也可使用TCP 443(伪装HTTPS流量避免封锁)。 - 配置文件示例(
server.conf):port 1194 proto udp
- 默认端口:
-
IPSec/L2TP
- 默认端口:
500/UDP(IKE密钥交换)4500/UDP(NAT穿透)1701/UDP(L2TP协议,较少直接使用)。
- 默认端口:
-
WireGuard
- 默认端口:
51820/UDP(可自定义,通常用UDP)。 - 配置文件示例(
wg0.conf):ListenPort = 51820
- 默认端口:
-
PPTP(不推荐,安全性低)
- 默认端口:
1723/TCP(控制连接) +GRE协议(47号协议)。
- 默认端口:
云主机安全组/防火墙配置
在阿里云、腾讯云、AWS等平台,需手动放行端口:
-
操作步骤:
- 进入云控制台 安全组规则 或 防火墙。
- 添加入站规则(Inbound Rules),允许指定端口(如
UDP 1194)。 - 源IP可限制为客户端IP(如
0.0.0/0表示允许所有IP,但存在风险)。
-
示例(AWS安全组):
- 类型:
Custom UDP Rule - 端口范围:
1194 - 源:
0.0.0/0(或特定IP段)
- 类型:
系统防火墙配置
确保主机本地防火墙(如iptables/ufw)放行端口:
- Ubuntu示例(ufw):
sudo ufw allow 1194/udp sudo ufw enable
- CentOS(firewalld):
sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --reload
端口选择建议
- 规避封锁:
- 使用
TCP 443(HTTPS端口)或UDP 53(DNS端口)可绕过某些网络限制。 - WireGuard默认端口可能被识别,建议更换为非常用端口(如
2053/UDP)。
- 使用
- 性能:
UDP协议通常更适合VPN(如OpenVPN/UDP或WireGuard)。
验证端口是否开放
使用工具检查端口是否可访问:
# 在线工具(如 https://www.yougetsignal.com/tools/open-ports/)
注意事项
- 协议安全性:优先选择OpenVPN或WireGuard,避免PPTP。
- 日志监控:定期检查
/var/log/syslog或VPN服务日志,排查连接问题。 - 多用户限制:通过VPN配置限制并发连接数(如OpenVPN的
max-clients参数)。
如有具体云平台或VPN协议问题,可进一步补充说明!
