在企业网络环境中,尤其是在使用 CentOS 6.5 这类较老但仍在运行的服务器系统时,如何安全地远程访问内部资源是一个常见且重要的问题,OpenVPN 是一个开源、灵活且功能强大的虚拟私人网络(VPN)解决方案,广泛用于构建点对点或站点到站点的安全连接,本文将详细介绍如何在 CentOS 6.5 系统上部署和配置 OpenVPN 服务,涵盖安装、证书生成、服务配置、防火墙设置及客户端连接步骤,帮助网络工程师在老旧环境中快速实现安全远程访问。
确保你的 CentOS 6.5 系统已更新至最新补丁版本(建议使用 yum update),并具备 root 权限,OpenVPN 官方未直接提供 CentOS 6.5 的 RPM 包,因此我们需从 EPEL 源或手动编译安装,推荐使用 EPEL 源(Extra Packages for Enterprise Linux):
rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum install openvpn easy-rsa -y
接下来是证书颁发机构(CA)的创建与管理,OpenVPN 使用 TLS/SSL 加密通信,证书机制至关重要,进入 /etc/openvpn/easy-rsa 目录,初始化 PKI(公钥基础设施):
cd /etc/openvpn/easy-rsa cp vars.example vars vi vars
编辑 vars 文件,根据实际环境修改以下参数(如国家代码、组织名称等),保存后执行:
source ./vars ./clean-all ./build-ca
这会生成 CA 证书(ca.crt),后续所有客户端和服务端都基于此签名。
然后生成服务器证书和密钥:
./build-key-server server
按提示操作,确认“yes”并输入密码(可选),接着生成客户端证书:
./build-key client1
最后生成 Diffie-Hellman 参数(用于密钥交换):
./build-dh
完成证书生成后,复制必要文件到 OpenVPN 配置目录:
cp ca.crt ca.key dh2048.pem server.crt server.key /etc/openvpn/
现在编写服务器主配置文件(/etc/openvpn/server.conf),关键配置如下:
port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh2048.pem server 10.8.0.0 255.255.255.0 push "route 192.168.1.0 255.255.255.0" # 推送内网路由 keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log verb 3
配置完成后,启用 IP 转发(允许服务器转发流量):
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
开启防火墙规则(若使用 iptables):
iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE service iptables save
启动 OpenVPN 服务:
service openvpn start chkconfig openvpn on
客户端连接时,需准备 client1.ovpn 文件,包含 CA 证书、客户端证书、密钥和服务器地址信息。
client dev tun proto udp remote your-server-ip 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key comp-lzo verb 3
将该文件导入 OpenVPN GUI 或 Linux 客户端即可建立加密隧道。
尽管 CentOS 6.5 已于 2024 年停止支持,但在特定遗留系统中仍具价值,通过 OpenVPN 的灵活配置,可在不升级系统的前提下保障远程访问安全性,网络工程师应优先评估风险,逐步迁移至现代平台(如 CentOS Stream 或 AlmaLinux),同时利用现有工具维持业务连续性。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
