在当前数字化转型加速的时代,远程办公、跨地域访问和数据隐私保护成为企业和个人用户的核心需求,虚拟专用网络(VPN)作为保障网络安全通信的重要工具,其部署与配置能力已成为网络工程师必备技能之一,本文将以 CentOS 7/8 或 CentOS Stream 系统为平台,详细介绍如何在VPS(虚拟私有服务器)上搭建一个稳定、安全且易于管理的 OpenVPN 服务,帮助用户实现远程安全接入内网资源。
确保你的 VPS 已经安装了 CentOS 操作系统,并具备公网 IP 地址和基本的 SSH 访问权限,建议使用 root 用户或具有 sudo 权限的账户进行操作,第一步是更新系统软件包,执行命令:
sudo yum update -y
接着安装 EPEL 源(Extra Packages for Enterprise Linux),因为 OpenVPN 官方仓库不在默认源中:
sudo yum install epel-release -y
然后安装 OpenVPN 和 Easy-RSA(用于证书生成):
sudo yum install openvpn easy-rsa -y
接下来是关键步骤——证书体系的建立,OpenVPN 使用 PKI(公钥基础设施)来认证客户端和服务端,这极大提升了安全性,进入 Easy-RSA 目录并初始化密钥库:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件,设置国家、组织名称等基本信息,
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@example.com"
运行以下命令生成 CA 根证书和服务器证书:
./clean-all ./build-ca ./build-key-server server ./build-key client1
注意:client1 是示例客户端名,你可以为每个用户创建独立证书,完成后,将生成的证书和密钥文件复制到 OpenVPN 配置目录:
cp keys/{ca.crt,server.crt,server.key} /etc/openvpn/
cp keys/client1.crt /etc/openvpn/
cp keys/client1.key /etc/openvpn/
现在编写主配置文件 /etc/openvpn/server.conf,这是一个核心配置项,需根据实际网络环境调整,典型配置包括监听端口(如 1194)、协议(UDP 更快)、子网分配(如 10.8.0.0/24)、TLS 设置和日志路径等,示例片段如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3启用并启动 OpenVPN 服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
还需配置防火墙规则允许 UDP 1194 端口通过(如果使用 firewalld):
sudo firewall-cmd --permanent --add-port=1194/udp sudo firewall-cmd --reload
至此,你已经成功搭建了一个基于 CentOS 的 VPS OpenVPN 服务,客户端可通过 .ovpn 文件连接,该文件包含服务器地址、证书信息和加密参数,此方案适用于家庭办公、远程运维、企业分支机构互联等多种场景,兼具成本低、安全性高、易扩展的优点。
对于进阶用户,还可以集成双因素认证(如 Google Authenticator)、动态 DNS 支持或使用 WireGuard 替代 OpenVPN 以获得更高性能,掌握此类技能,不仅提升自身技术深度,也为企业构建更健壮的网络架构奠定基础。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
