1. 选择VPS/主机:优先选择标注“香港原生IP”或香港数据中心的VPS,避免使用海外NAT或共享端口的产品。
2. 带宽与流量:建议测试带宽最低 50Mbps,常见配置为 100Mbps 专线或按流量包计费(例:1TB/月)。
3. CPU与内存:最少 1 vCPU + 1GB 内存用于轻量OpenVPN/WireGuard,加密并发多时建议 2 vCPU + 2GB。
4. 操作系统:推荐 Ubuntu 20.04 / Debian 11 做为服务器系统,便于安装常见网络工具与内核调优。
5. 备案与合规:香港节点通常无需大陆备案,但若涉及业务属性需遵守当地法律与CDN厂商条款。
1. 打开IP转发:编辑 /etc/sysctl.conf,设置 net.ipv4.ip_forward=1,执行 sysctl -p。
2. 增加连接数与文件句柄:设置 fs.file-max=100000 和 net.netfilter.nf_conntrack_max=262144。
3. 调整TCP参数:建议启用 TCP Fast Open、设置 tcp_tw_reuse=1, tcp_fin_timeout=15, 增加 tcp_max_syn_backlog=4096。
4. 启用BBR:若内核支持,执行 sysctl net.core.default_qdisc=fq && sysctl net.ipv4.tcp_congestion_control=bbr,确认 lsmod | grep bbr。
5. MTU调优:常见WireGuard MTU 设置为 1420 或 1380(取决于隧道头部),避免分片导致丢包与延迟升高。
1. 安装命令(Ubuntu):apt update && apt install -y wireguard iproute2 resolvconf。
2. 服务端示例配置(/etc/wireguard/wg0.conf):配置 ListenPort=51820, Address=10.10.0.1/24,AllowedIPs 对应路由。
3. 客户端示例:Address=10.10.0.2/32, AllowedIPs=0.0.0.0/0, Endpoint=香港IP:51820,MTU=1420。
4. NAT 与 iptables:iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;iptables -A FORWARD -i wg0 -o eth0 -j ACCEPT。
5. 启动与持久化:wg-quick up wg0;并用 systemctl enable wg-quick@wg0 保持重启生效。
1. 示例机型:香港 VPS,配置 2 vCPU / 4GB RAM / 80GB SSD / 带宽 100Mbps 专线。
2. 公网信息:IPv4 203.XXX.XXX.45,ASN: AS9808 (HKISP示例),平均对大陆Ping: 45-80ms,丢包 <1%。
3. 并发能力评估:在单实例上使用 WireGuard + AES-硬件加速,预计并发 300-500 TCP 连接(2 vCPU),带宽峰值可达 80Mbps。
4. 安全策略:安装 fail2ban、配置 ufw 仅开放 22/51820,与 iptables 限速 / 限连接策略。
5. 监控与日志:使用 vnStat 监控流量、iftop 实时查看会话,Prometheus + Grafana 可做长期趋势记录。
1. 下表列出三种常见配置供参考与选型。
| 机型 | CPU | 内存 | 带宽 | 月流量 | 适用场景 |
|---|---|---|---|---|---|
| 轻量型 | 1 vCPU | 1 GB | 50 Mbps | 500 GB | 个人加速、测试 |
| 标准型 | 2 vCPU | 4 GB | 100 Mbps | 1 TB | 小团队、稳定连接 |
| 高性能 | 4 vCPU | 8 GB | 200 Mbps+ | 无限或大流量包 | 大并发、商用加速 |
1. 无法连通:先从客户端执行 ping 服务器公网IP,若不可达检查防火墙(供应商控制台)是否放行端口。
2. 高延迟或丢包:做 mtr/traceroute 定位发生在哪一跳,若在运营商侧需联系供应商或考虑更换线路。
3. MTU 导致的数据包分片或连接中断:客户端降低 MTU(如1420或1380)并重试,检查 ICMP 被屏蔽会阻止PMTUD。
4. DNS 泄露或解析慢:在隧道中强制使用上游DNS(如1.1.1.1或本地DNS缓存),并检查 /etc/resolv.conf。
5. 路由不生效:确认 AllowedIPs/Push routes 配置是否正确,检查 ip rule、ip route 与 iptables 是否存在冲突。
1. CDN并非所有流量都能保护TCP/UDP加速器,针对IP直连应使用云厂商或第三方BGP高防产品。
2. 限速与连接数限制:iptables -m connlimit --connlimit-above 100 -j REJECT,防止单IP耗尽资源。
3. SYN flood 防护:启用 SYN cookies(net.ipv4.tcp_syncookies=1),增加 tcp_max_syn_backlog。
4. 黑白名单与速率限制:结合 fail2ban 自动封禁爆破来源,使用 nftables 做更高效的规则集。
5. 备份与故障切换:部署双线或多节点热备,使用智能DNS或Keepalived + VRRP 做主备切换。
1. 背景:某游戏加速团队在香港部署原生IP加速器,目标降低中国南部用户延迟并提供稳定通道。
2. 选型:购买两台香港VPS(2vCPU/4GB/100Mbps),并配置WireGuard隧道与Nginx反代控制面板。
3. 优化措施:启用 BBR、调整 MTU=1380、设置 conntrack_max=262144 并对 WireGuard 端口做速率限制。
4. 结果数据:对 200 位用户压测峰值带宽 78Mbps,平均 RTT 60ms(广州节点),丢包 <0.8%,并发连接稳定在 450 个左右。
5. 教训与改进:遭遇小规模UDP洪水后加入云端DDoS按需保护,并将流量峰值切换到备用节点实现无感降级。
1. 新手上手关键点:正确选型香港原生IP、做好内核与MTU调优、配置合理的防火墙策略。
2. 测试习惯:购前测试IP延迟/丢包,部署后持续监控流量与连接数。
3. 业务扩展:若需求增长考虑多节点负载均衡、线路/运营商多样化与专业DDoS服务。
4. 学习资源:阅读官方WireGuard/OpenVPN文档、关注云厂商网络参数说明与防护白皮书。
5. 如需我方提供更细的配置文件或根据实际IP分析排查,可提供服务器信息与traceroute/mtr结果进行进一步诊断。
