在现代企业网络和远程办公环境中,虚拟私人网络(VPN)已成为保障数据安全传输的重要手段,CentOS作为一款稳定、开源且广泛应用于服务器环境的操作系统,是部署OpenVPN服务的理想选择,本文将详细介绍如何在CentOS 7或CentOS 8/9上从零开始配置OpenVPN服务,包括安装、证书生成、服务器端配置、防火墙设置以及客户端连接步骤,帮助网络工程师快速搭建一套安全可靠的远程访问解决方案。
确保你已经准备好一台运行CentOS的服务器,并具备root权限或sudo权限,我们以CentOS Stream 9为例进行说明,第一步是更新系统并安装必要的软件包:
sudo dnf update -y sudo dnf install epel-release -y sudo dnf install openvpn easy-rsa -y
openvpn 是核心服务组件,easy-rsa 提供了自动化生成SSL/TLS证书的工具,用于身份认证和加密通信。
我们需要初始化PKI(公钥基础设施),进入EasyRSA目录并执行以下命令:
cd /usr/share/easy-rsa/ sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/ cd /etc/openvpn/easy-rsa/ sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass # 创建根CA证书,不设置密码便于自动部署
然后生成服务器证书和密钥:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
接着生成Diffie-Hellman密钥交换参数(这是OpenVPN加密安全的关键):
sudo ./easyrsa gen-dh
我们准备服务器配置文件,复制示例配置文件并编辑:
sudo cp /usr/share/doc/openvpn/sample-config-files/server.conf /etc/openvpn/ sudo nano /etc/openvpn/server.conf
在配置文件中,关键修改项包括:
port 1194:指定监听端口(可选其他端口)proto udp:推荐使用UDP协议,性能更好dev tun:使用TUN设备创建点对点隧道ca /etc/openvpn/easy-rsa/pki/ca.crtcert /etc/openvpn/easy-rsa/pki/issued/server.crtkey /etc/openvpn/easy-rsa/pki/private/server.keydh /etc/openvpn/easy-rsa/pki/dh.pemserver 10.8.0.0 255.255.255.0:为客户端分配IP地址段push "redirect-gateway def1 bypass-dhcp":让客户端流量通过VPN路由push "dhcp-option DNS 8.8.8.8":推送DNS服务器
保存后,启用IP转发功能(使服务器能充当网关):
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
配置防火墙规则(使用firewalld):
sudo firewall-cmd --permanent --add-port=1194/udp sudo firewall-cmd --permanent --add-masquerade sudo firewall-cmd --reload
启动OpenVPN服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
至此,服务器端配置完成,接下来生成客户端证书(可在服务器本地或另一台机器上操作):
cd /etc/openvpn/easy-rsa/ sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
将客户端所需的证书(client1.crt)、私钥(client1.key)和CA证书(ca.crt)打包成一个.ovpn配置文件,
cat > client.ovpn <<EOF client dev tun proto udp remote your-server-ip 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key tls-auth ta.key 1 verb 3 EOF
将此文件分发给用户,在Windows、macOS或Linux客户端上导入即可连接,如需图形界面,可使用OpenVPN GUI或NetworkManager插件。
本教程展示了如何在CentOS系统中构建完整的OpenVPN服务,涵盖证书管理、网络配置和安全策略,这套方案不仅适用于小型企业远程办公,也可扩展为多用户、多分支机构的集中式接入方案,建议定期更新证书和补丁,确保长期安全运行。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
