随着远程办公和跨地域网络访问需求的增加,搭建一个稳定、安全的虚拟专用网络(VPN)成为许多企业与个人用户的刚需,CentOS 6.5 作为一款曾经广泛使用的 Linux 发行版,虽然已进入维护阶段,但在特定环境中仍被用于遗留系统或小型项目部署,本文将详细介绍如何在 CentOS 6.5 上成功搭建 OpenVPN 服务,包括安装、配置、证书生成、防火墙设置及基础安全优化。
确保你的 CentOS 6.5 系统已更新至最新补丁,并具备 root 权限,我们使用 OpenVPN 作为开源解决方案,因其成熟稳定、社区支持强大且兼容性良好。
第一步是安装 OpenVPN 及相关工具,执行以下命令:
yum update -y yum install -y openvpn easy-rsa
Easy-RSA 是用于生成 PKI(公钥基础设施)证书的工具,OpenVPN 依赖它来实现加密通信。
第二步,配置 CA(证书颁发机构),复制 Easy-RSA 模板到 /etc/openvpn/ 目录:
cp -r /usr/share/easy-rsa /etc/openvpn/ cd /etc/openvpn/easy-rsa/
编辑 vars 文件,修改以下变量以匹配你的组织信息(如国家、省份、组织名称等),这有助于识别证书来源,提升安全性:
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@mycompany.com"
然后执行初始化脚本并生成 CA 证书:
./clean-all ./build-ca
接下来生成服务器证书和密钥:
./build-key-server server
为客户端生成证书(可重复执行多个客户端):
./build-key client1
所有证书完成后,将关键文件复制到 OpenVPN 配置目录:
cp /etc/openvpn/easy-rsa/keys/{ca.crt,server.crt,server.key,ta.key} /etc/openvpn/
第三步,创建 OpenVPN 服务主配置文件 /etc/openvpn/server.conf,示例如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3注意:dh1024.pem 文件需用 openssl dhparam -out dh1024.pem 1024 生成,若对安全性要求更高,建议使用 2048 位 DH 参数。
第四步,启用 IP 转发并配置防火墙规则(iptables):
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE service iptables save
启动 OpenVPN 服务:
service openvpn start chkconfig openvpn on
至此,OpenVPN 服务器已在 CentOS 6.5 上成功部署,客户端可通过 .ovpn 配置文件连接,包含 CA 证书、客户端证书、密钥和服务器地址等信息。
安全提示:
- 使用强密码保护私钥文件(chmod 600);
- 定期轮换证书,避免长期使用同一密钥;
- 建议结合 fail2ban 防止暴力破解;
- 若可能,升级到 CentOS 7+ 或使用更现代的 WireGuard 替代方案。
通过以上步骤,你可以在旧版本 CentOS 上构建一个可用的 OpenVPN 网络隧道,满足基本远程接入需求。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
