在企业网络或远程办公场景中,使用虚拟专用网络(VPN)建立安全、加密的通信通道至关重要,CentOS 作为广泛使用的 Linux 发行版,尤其适合搭建稳定可靠的服务器环境,本文将详细介绍如何在 CentOS 7 或 CentOS 8 系统上部署 OpenVPN 服务,并配置客户端连接,实现安全远程访问内网资源。
第一步:准备工作
确保你有一台运行 CentOS 的服务器(推荐 CentOS 7/8),并具备 root 权限,建议先更新系统软件包:
sudo yum update -y
第二步:安装 OpenVPN 和 Easy-RSA
OpenVPN 是开源的 SSL/TLS-based VPN 解决方案,Easy-RSA 用于生成证书和密钥,执行以下命令安装:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
第三步:配置证书颁发机构(CA)
Easy-RSA 提供了完整的 PKI(公钥基础设施)管理工具,首先复制模板文件:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件,设置国家、组织等基本信息(如 CN=YourCompany, O=IT Dept),然后初始化 PKI 并生成 CA 密钥:
./clean-all ./build-ca
按提示输入“CA Name”,默认即可。
第四步:生成服务器证书与密钥
继续执行以下命令:
./build-key-server server
此步骤会生成服务器端证书和密钥,需确认是否签署证书(输入 yes)。
第五步:生成 Diffie-Hellman 参数
为增强安全性,生成 DH 参数(耗时较长,建议提前准备):
./build-dh
第六步:创建服务器配置文件
复制示例配置文件并修改:
cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/ vim /etc/openvpn/server.conf
关键配置项如下:
port 1194:指定端口(可自定义)proto udp:使用 UDP 协议提升性能dev tun:使用隧道模式ca /etc/openvpn/easy-rsa/pki/ca.crtcert /etc/openvpn/easy-rsa/pki/issued/server.crtkey /etc/openvpn/easy-rsa/pki/private/server.keydh /etc/openvpn/easy-rsa/pki/dh.pemserver 10.8.0.0 255.255.255.0:分配子网给客户端push "redirect-gateway def1 bypass-dhcp":强制客户端流量走 VPNpush "dhcp-option DNS 8.8.8.8":推送 DNS 服务器
第七步:启用 IP 转发与防火墙规则
编辑 /etc/sysctl.conf 启用转发:
net.ipv4.ip_forward = 1
执行 sysctl -p 生效。
配置 firewalld 开放端口:
firewall-cmd --add-port=1194/udp --permanent firewall-cmd --add-masquerade --permanent firewall-cmd --reload
第八步:启动 OpenVPN 服务
systemctl enable openvpn@server systemctl start openvpn@server
第九步:生成客户端证书与配置文件
在 Easy-RSA 目录下:
./build-key client1
生成后,将以下文件打包分发给客户端:
- ca.crt(CA 证书)
- client1.crt(客户端证书)
- client1.key(客户端私钥)
客户端配置文件(client.ovpn)示例:
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
verb 3至此,你的 CentOS OpenVPN 服务器已部署完成,客户端可通过导入 .ovpn 文件连接,实现安全远程接入,该方案适用于中小型企业、远程办公、云服务器互联等场景,具有高安全性与灵活性,建议定期备份证书并监控日志(位于 /var/log/messages),以保障长期稳定运行。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
