在企业网络或远程办公场景中,虚拟专用网络(VPN)是保障数据传输安全、实现远程访问的重要技术手段,CentOS 6.5作为一款经典的Linux发行版,虽然已停止官方支持(2024年已进入EOL),但在一些遗留系统中仍有使用,本文将详细介绍如何在CentOS 6.5环境下部署OpenVPN服务,涵盖服务器端安装、证书生成、配置文件编写、防火墙设置及客户端连接步骤,帮助网络工程师快速构建安全可靠的远程接入通道。
准备工作
首先确保CentOS 6.5系统已安装并可联网,登录服务器后,更新系统包:
yum update -y
接着安装OpenVPN依赖组件:
yum install -y openvpn easy-rsa iptables-services
其中easy-rsa用于生成SSL/TLS证书,iptables-services用于管理防火墙规则。
生成证书和密钥
OpenVPN基于PKI(公钥基础设施)进行身份认证,需先生成CA证书和服务器/客户端证书。
- 复制EasyRSA模板到指定目录:
cp -r /usr/share/easy-rsa /etc/openvpn cd /etc/openvpn/easy-rsa
- 编辑
vars文件,修改以下变量以符合实际需求(如国家、组织名):export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@mycompany.com"
- 初始化PKI并生成CA证书:
./clean-all ./build-ca
- 生成服务器证书和密钥:
./build-key-server server
- 为客户端生成证书(每台客户端需单独生成):
./build-key client1
配置OpenVPN服务器
复制示例配置文件:
cp /usr/share/doc/openvpn-2.3.6/sample-config-files/server.conf /etc/openvpn/
编辑/etc/openvpn/server.conf,关键配置项如下:
port 1194:OpenVPN默认端口proto udp:推荐使用UDP协议,性能更优dev tun:创建TUN设备(点对点隧道)ca ca.crt、cert server.crt、key server.key:引用生成的证书dh dh2048.pem:Diffie-Hellman参数文件(通过./build-dh生成)server 10.8.0.0 255.255.255.0:分配给客户端的IP段push "redirect-gateway def1 bypass-dhcp":强制客户端流量经由VPNpush "dhcp-option DNS 8.8.8.8":指定DNS服务器
启用IP转发与防火墙规则
开启内核IP转发:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
配置iptables允许OpenVPN流量:
iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE service iptables save
启动服务与客户端配置
启动OpenVPN服务并设为开机自启:
service openvpn start chkconfig openvpn on
客户端配置文件(如client1.ovpn)需包含:
remote your-server-ip 1194dev tunproto udpca ca.crtcert client1.crtkey client1.key
客户端可通过OpenVPN GUI或命令行工具连接。
常见问题排查
若连接失败,检查日志:
tail -f /var/log/messages | grep openvpn
确认防火墙未阻断端口、证书是否过期、路由表是否正确。
通过以上步骤,可在CentOS 6.5环境中成功部署OpenVPN服务,为远程用户提供加密、稳定的网络接入能力,尽管该系统已过时,其配置逻辑仍适用于理解传统VPN架构,建议后续迁移至支持现代TLS 1.3的系统。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
