CentOS系统搭建OpenVPN服务详解，从零开始实现安全远程访问

在现代企业网络环境中，远程办公和跨地域协作已成为常态，为了保障数据传输的安全性与稳定性，虚拟专用网络（VPN）成为不可或缺的技术手段，CentOS作为一款稳定、开源的Linux发行版，非常适合用于部署各类网络服务，本文将详细介绍如何在CentOS系统上搭建OpenVPN服务，帮助用户实现安全、加密的远程访问。

第一步：准备工作
确保你已有一台运行CentOS 7或8的服务器（推荐使用CentOS Stream以获得最新功能），并具备root权限，你需要一个公网IP地址（静态IP更佳），以及一台可以连接到该IP的客户端设备（如Windows、macOS或移动设备），建议提前关闭防火墙或配置规则以允许OpenVPN流量通过（默认端口为UDP 1194）。

第二步：安装OpenVPN及相关工具
使用以下命令更新系统并安装OpenVPN组件：

sudo yum update -y
sudo yum install epel-release -y
sudo yum install openvpn easy-rsa -y

easy-rsa 是用于生成证书和密钥的工具包,是OpenVPN认证机制的核心部分。

第三步：配置证书颁发机构（CA）
首先复制EasyRSA模板文件到指定目录,并初始化PKI环境：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑 vars 文件，设置国家、省份、组织名称等信息（可按需修改）：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@example.com"
export KEY_CN=server
export KEY_NAME=server
export KEY_OU=OpenVPN

执行以下命令生成CA证书和私钥：

./clean-all
./build-ca

第四步：生成服务器证书和密钥
继续执行：

./build-key-server server

此步骤会提示你是否确认签名，请输入“yes”，接着生成Diffie-Hellman参数：

./build-dh

第五步：配置OpenVPN服务器
创建服务器配置文件 /etc/openvpn/server.conf如下（可根据需求调整）：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

第六步：启用IP转发并配置iptables
开启内核IP转发功能：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

配置防火墙规则允许OpenVPN流量：

firewall-cmd --permanent --add-port=1194/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

第七步：启动OpenVPN服务

systemctl enable openvpn@server
systemctl start openvpn@server

第八步：生成客户端证书与配置文件
在EasyRSA目录下生成客户端证书：

./build-key client1

然后将以下文件打包发送给客户端：

• ca.crt
• client1.crt
• client1.key

客户端配置文件示例（client.ovpn）：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

第九步：测试连接
在客户端导入配置文件并连接，若成功,则说明OpenVPN服务已正常运行。

通过以上步骤，你可以在CentOS上成功搭建一个基于TLS/SSL加密的OpenVPN服务，它不仅支持多用户并发接入，还能提供强大的身份验证和数据保护能力，对于中小企业或远程团队而言，这是一个低成本、高可靠性的解决方案，实际部署时还需考虑日志监控、定期证书更新和安全策略优化,才能真正构建出健壮的远程访问体系。

半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速