在现代企业办公和远程访问场景中,虚拟私人网络(VPN)已成为保障数据安全与远程接入的重要工具,尤其对于使用 CentOS 系统的 Linux 服务器用户来说,搭建一个稳定、安全且可扩展的 OpenVPN 或 WireGuard 服务,是实现远程安全访问本地资源的首选方案之一,本文将详细讲解如何在 CentOS 7/8 或 CentOS Stream 上从零开始搭建一个功能完整的个人或企业级 VPN 服务器,涵盖环境准备、安装配置、证书生成、防火墙设置及客户端连接等全流程。
确保你有一台运行 CentOS 的服务器(推荐 CentOS 7.9 或 8.x),并拥有 root 权限或 sudo 权限,建议使用最小化安装版本以减少潜在漏洞,系统需具备公网 IP 地址,否则无法被外部设备访问。
第一步是更新系统并安装必要的软件包,执行以下命令:
sudo yum update -y sudo yum install -y epel-release sudo yum install -y openvpn easy-rsa iptables-services firewalld
如果选择使用 WireGuard(性能更优、配置更简洁),则执行:
sudo yum install -y wireguard-tools
接下来配置证书管理工具(OpenVPN 需要),进入 Easy-RSA 目录并初始化 PKI:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo cp vars.example vars
编辑 vars 文件,根据需要修改国家、组织、单位名称等字段,然后执行:
sudo ./easyrsa init-pki sudo ./easyrsa build-ca sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
这些命令会生成服务器和客户端所需的证书与密钥文件。
随后,复制证书到 OpenVPN 配置目录,并创建主配置文件 /etc/openvpn/server.conf示例如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3注意:push "route" 表示将本地局域网(如 192.168.1.0/24)推送给客户端,使其能访问内网资源。
启用 IP 转发功能,在 /etc/sysctl.conf 中添加:
net.ipv4.ip_forward = 1然后执行 sysctl -p 生效。
配置防火墙规则(以 firewalld 为例):
sudo firewall-cmd --permanent --add-port=1194/udp sudo firewall-cmd --permanent --add-masquerade sudo firewall-cmd --reload
最后启动 OpenVPN 服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
客户端配置可通过导出的 .ovpn 文件完成,包含 CA、客户端证书、密钥及服务器地址,Windows、Android、iOS 均支持导入配置并连接。
通过以上步骤,你已成功在 CentOS 上部署了一个功能完整、安全性高的 VPN 服务器,适用于远程办公、家庭组网、多分支机构互联等多种场景,后续可根据需求扩展双因子认证、日志审计、自动证书续签等功能,打造更健壮的私有网络环境。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
