随着远程办公和分布式团队的普及,企业对安全、稳定且可扩展的虚拟私有网络(VPN)需求日益增长,CentOS 7 作为一款成熟稳定的 Linux 发行版,非常适合用于搭建企业级 OpenVPN 服务,本文将详细介绍如何在 CentOS 7 系统上部署和配置 OpenVPN,确保用户能够通过加密隧道安全访问内网资源。
准备工作必不可少,你需要一台运行 CentOS 7 的服务器(建议至少 2GB 内存),并确保系统已更新至最新状态,登录服务器后,执行以下命令更新系统:
sudo yum update -y
安装 EPEL 源以获取更多软件包支持:
sudo yum install epel-release -y
然后安装 OpenVPN 和 Easy-RSA(用于证书管理):
sudo yum install openvpn easy-rsa -y
完成安装后,复制默认配置文件到 /etc/openvpn/ 目录:
sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/
接下来是证书颁发机构(CA)的创建,使用 Easy-RSA 工具生成密钥和证书:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./vars sudo ./clean-all sudo ./build-ca
上述命令会创建 CA 根证书,这是所有客户端连接的基础信任根,随后生成服务器证书和密钥:
sudo ./build-key-server server
为每个客户端生成独立证书(例如名为 client1):
sudo ./build-key client1
生成 Diffie-Hellman 参数(用于密钥交换):
sudo ./build-dh
编辑主配置文件 /etc/openvpn/server.conf,关键配置项包括:
port 1194:指定监听端口(默认为 UDP 1194)proto udp:使用 UDP 协议提升性能dev tun:创建 TUN 设备(三层隧道)ca /etc/openvpn/easy-rsa/ca.crtcert /etc/openvpn/easy-rsa/server.crtkey /etc/openvpn/easy-rsa/server.keydh /etc/openvpn/easy-rsa/dh2048.pemserver 10.8.0.0 255.255.255.0:分配给客户端的 IP 段push "redirect-gateway def1 bypass-dhcp":强制客户端流量走 VPN 隧道push "dhcp-option DNS 8.8.8.8":设置 DNS 服务器
保存配置后,启用 IP 转发功能,使服务器能转发流量:
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf sudo sysctl -p
配置防火墙规则允许 OpenVPN 流量通过:
sudo firewall-cmd --permanent --add-port=1194/udp sudo firewall-cmd --reload
启动 OpenVPN 服务并设置开机自启:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
将生成的客户端配置文件(client1.ovpn)分发给用户,内容包含 CA 证书、客户端证书、密钥及服务器地址,用户只需导入此文件即可连接到 VPN。
通过以上步骤,你可以在 CentOS 7 上成功搭建一个安全、可扩展的 OpenVPN 服务,满足企业远程接入、数据加密和访问控制的需求,此方案具备高稳定性与灵活性,是中小型企业或开发者理想的选择。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
