在企业网络部署或远程办公场景中,虚拟私人网络(VPN)是保障数据传输安全与隐私的重要工具,CentOS作为一款稳定、开源的Linux发行版,广泛应用于服务器环境中,本文将详细介绍如何在CentOS 7/8系统上安装并配置OpenVPN服务,实现安全的远程访问功能,适用于管理员和网络工程师快速部署。
确保你的CentOS系统已更新至最新状态,打开终端,执行以下命令:
sudo yum update -y
安装EPEL源以获取更多软件包支持(如OpenSSL和Easy-RSA):
sudo yum install epel-release -y
安装OpenVPN及相关依赖:
sudo yum install openvpn easy-rsa -y
安装完成后,需要生成证书和密钥,这是OpenVPN身份认证的核心机制,进入Easy-RSA目录并初始化PKI(公钥基础设施):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,设置你的组织信息(如国家、省份、组织名称等),建议根据实际需求修改:
nano vars
set_var EASYRSA_REQ_COUNTRY "CN"
set_var EASYRSA_REQ_PROVINCE "Beijing"
set_var EASYRSA_REQ_CITY "Beijing"
set_var EASYRSA_REQ_ORG "MyCompany"
set_var EASYRSA_REQ_EMAIL "admin@mycompany.com"
set_var EASYRSA_REQ_OU "IT Department"保存后,执行以下命令生成CA证书和服务器证书:
./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server
同时为客户端生成证书(每台客户端需单独生成):
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
配置OpenVPN服务器主文件,复制示例配置文件并编辑:
cp /usr/share/doc/openvpn/sample/sample-config-files/server.conf /etc/openvpn/ nano /etc/openvpn/server.conf
关键配置项包括:
port 1194:指定监听端口(默认UDP)proto udp:使用UDP协议更高效dev tun:创建TUN设备ca /etc/openvpn/easy-rsa/pki/ca.crtcert /etc/openvpn/easy-rsa/pki/issued/server.crtkey /etc/openvpn/easy-rsa/pki/private/server.keydh /etc/openvpn/easy-rsa/pki/dh.pem:生成Diffie-Hellman参数server 10.8.0.0 255.255.255.0:定义内部IP池push "redirect-gateway def1 bypass-dhcp":强制客户端流量走VPNpush "dhcp-option DNS 8.8.8.8":推送DNS服务器
生成DH参数(可选但推荐):
./easyrsa gen-dh
启用IP转发功能(让服务器能转发数据包):
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
配置防火墙(若使用firewalld):
firewall-cmd --permanent --add-port=1194/udp firewall-cmd --permanent --add-forward-port=port=1194:proto=udp:toaddr=10.8.0.1 firewall-cmd --reload
启动OpenVPN服务并设为开机自启:
systemctl enable openvpn@server systemctl start openvpn@server
客户端连接时,需准备一个.ovpn配置文件,包含CA证书、客户端证书、私钥及服务器地址,用户可通过OpenVPN GUI或命令行工具连接,验证通过后即可安全访问内网资源。
此方案不仅满足基础远程访问需求,还可扩展为多用户、细粒度权限控制的生产级环境,建议定期更新证书、监控日志,并结合fail2ban增强安全性。
半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速
