在现代网络环境中,虚拟专用网络(VPN)已成为企业与个人用户保障数据安全、实现远程访问和跨地域通信的重要工具,作为网络工程师,掌握如何在 CentOS 操作系统中正确配置和管理 VPN 连接,是日常运维工作中不可或缺的技能,本文将详细讲解如何在 CentOS 7/8 或 RHEL 系列系统中使用 OpenVPN 和 IPsec(StrongSwan)两种主流协议搭建并维护稳定可靠的 VPN 服务。
我们以 OpenVPN 为例进行说明,OpenVPN 是开源且广泛使用的 SSL/TLS 协议实现,支持多种加密方式,适用于点对点或站点到站点(Site-to-Site)场景,安装 OpenVPN 的第一步是启用 EPEL 源(如果未启用):
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
初始化证书颁发机构(CA)环境:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass
生成服务器证书和密钥:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
生成客户端证书:
sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
然后生成 Diffie-Hellman 参数和 TLS 密钥:
sudo ./easyrsa gen-dh sudo openvpn --genkey --secret ta.key
将生成的证书文件复制到 /etc/openvpn 目录,并编写服务器配置文件 /etc/openvpn/server.conf包括监听端口(如 port 1194)、协议(proto udp)、TLS 设置、证书路径等,最后启动服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
对于客户端连接,需将 CA 证书、客户端证书、私钥和 ta.key 一同打包为 .ovpn 配置文件,并通过命令行或图形界面导入连接。
另一种常见方案是使用 StrongSwan 实现 IPsec/L2TP 或 IKEv2 协议,它适合企业级多设备接入,安全性更高,安装步骤如下:
sudo yum install strongswan strongswan-libstrongswan-devel -y
编辑 /etc/ipsec.conf 定义连接策略,
conn my-vpn
keyexchange=ikev2
ike=aes256-sha256-modp2048!
esp=aes256-sha256!
left=%any
leftid=@your-server.domain.com
right=%any
rightauth=pubkey
rightdns=8.8.8.8
auto=add还需配置 /etc/ipsec.secrets 存储私钥信息,重启服务后,即可使用 ipsec up my-vpn 启动连接。
无论是 OpenVPN 还是 StrongSwan,都需要确保防火墙规则允许相关端口(如 UDP 1194、UDP 500、ESP 协议等),并合理配置 SELinux 策略(若启用),定期更新证书、监控日志(journalctl -u openvpn@server)以及测试连接稳定性,是保持长期可用性的关键。
在 CentOS 系统中部署和管理 VPN 不仅需要技术知识,还需要严谨的配置管理和持续运维意识,掌握这些技能,将极大提升你在企业网络架构中的专业价值。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
