在CentOS系统中配置OpenVPN服务，从零搭建安全远程访问通道

在现代企业网络环境中，远程办公和安全访问已成为刚需，CentOS作为一款稳定、轻量且广泛使用的Linux发行版，常被用于服务器部署，而OpenVPN是一款开源、功能强大且支持多种认证方式的虚拟私人网络（VPN）解决方案，非常适合在CentOS上搭建私有网络隧道，实现远程安全访问内网资源，本文将详细介绍如何在CentOS 7或8系统中安装、配置并启动OpenVPN服务。

确保你已准备好一台运行CentOS的服务器，并具备root权限或sudo权限，我们以CentOS 7为例进行演示，步骤基本适用于CentOS 8。

第一步：更新系统并安装依赖包
执行以下命令更新系统软件包：

sudo yum update -y

接着安装必要的工具和OpenVPN所需的依赖：

sudo yum install epel-release -y
sudo yum install openvpn easy-rsa -y

第二步：配置OpenVPN证书颁发机构（CA）
OpenVPN使用SSL/TLS加密通信，因此需要先生成数字证书，进入Easy-RSA目录：

cd /usr/share/easy-rsa/
sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/
cd /etc/openvpn/easy-rsa/

编辑vars文件，设置你的组织信息（如国家、省份、组织名等）：

sudo nano vars

然后初始化PKI（公钥基础设施）：

sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

接下来生成服务器证书和密钥：

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

生成客户端证书（每个用户需一个）：

sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

第三步：生成Diffie-Hellman参数和TLS密钥
这是增强加密强度的关键步骤：

sudo ./easyrsa gen-dh
sudo openvpn --genkey --secret ta.key

第四步：配置OpenVPN服务端
创建主配置文件：

sudo cp /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/
sudo cp /etc/openvpn/easy-rsa/pki/issued/server.crt /etc/openvpn/
sudo cp /etc/openvpn/easy-rsa/pki/private/server.key /etc/openvpn/
sudo cp /etc/openvpn/easy-rsa/pki/dh.pem /etc/openvpn/
sudo cp ta.key /etc/openvpn/

编辑主配置文件 /etc/openvpn/server.conf,关键配置如下：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

第五步：启用IP转发与防火墙规则
编辑 /etc/sysctl.conf 启用IP转发：

net.ipv4.ip_forward = 1

应用更改：

sudo sysctl -p

配置防火walld允许UDP端口1194：

sudo firewall-cmd --permanent --add-port=1194/udp
sudo firewall-cmd --reload

启动OpenVPN服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

至此，OpenVPN服务已在CentOS上成功部署，客户端只需获取ca.crt、client1.crt、client1.key和ta.key四个文件，配置OpenVPN客户端即可连接，这种架构既安全又灵活，适合中小型企业构建私有云或远程办公网络，建议定期备份证书并更新配置,保障长期运行的安全性。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN