在企业IT环境中,尤其是仍在使用 CentOS 6 的老系统中,搭建一个稳定、安全的虚拟私人网络(VPN)服务是实现远程办公、内网访问和跨地域数据传输的关键手段,尽管 CentOS 6 已于2024年停止官方支持,但其在某些遗留系统中依然广泛存在,本文将详细介绍如何在 CentOS 6 上安装并配置 OpenVPN 服务,涵盖证书生成、服务器端设置、客户端配置及常见问题排查,帮助你快速构建一个可运行的私有网络隧道。
第一步:准备工作
确保你的 CentOS 6 系统已更新至最新补丁版本(如 CentOS 6.10),并具备 root 权限,通过以下命令检查系统信息:
cat /etc/redhat-release uname -r
然后安装 EPEL 源(若未启用)以获取更多软件包:
rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
第二步:安装 OpenVPN 和 Easy-RSA
Easy-RSA 是用于生成 TLS 证书和密钥的工具,OpenVPN 依赖它来建立安全通道:
yum install openvpn easy-rsa -y
第三步:配置证书颁发机构(CA)
复制 Easy-RSA 配置模板到本地目录:
cp -r /usr/share/easy-rsa/ /etc/openvpn/ cd /etc/openvpn/easy-rsa/2.0/
编辑 vars 文件,设置国家、组织名称等基本信息(如 export KEY_COUNTRY="CN"),然后执行初始化脚本:
./clean-all ./build-ca
接下来生成服务器证书和密钥:
./build-key-server server
生成客户端证书(每个用户需单独生成):
./build-key client1
生成 Diffie-Hellman 参数(提升加密强度):
./build-dh
第四步:配置 OpenVPN 服务器
创建主配置文件 /etc/openvpn/server.conf如下(可根据实际需求调整):
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3第五步:启用 IP 转发与防火墙规则
编辑 /etc/sysctl.conf 启用 IP 转发:
net.ipv4.ip_forward = 1
加载生效:
sysctl -p
配置 iptables 放行流量:
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE service iptables save
第六步:启动 OpenVPN 服务
service openvpn start chkconfig openvpn on
第七步:客户端配置
将 ca.crt、client1.crt、client1.key 复制到客户端机器,并创建 .ovpn 文件:
client
dev tun
proto udp
remote your_server_ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3通过 OpenVPN 客户端(Windows/Linux/macOS 均可)导入该配置文件即可连接。
尽管 CentOS 6 已不再受支持,但通过上述步骤,你可以在其上成功部署 OpenVPN 服务,满足基本的远程安全接入需求,建议后续逐步迁移到 CentOS 7+ 或 AlmaLinux/Rocky Linux,以获得持续安全更新和更好的性能支持,此方案特别适合过渡期或测试环境使用。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
