在现代网络环境中,虚拟私人网络(VPN)已成为企业远程办公、安全访问内网资源以及保护数据传输的重要工具,CentOS 作为一款稳定、可靠的 Linux 发行版,常被用于搭建服务器环境,本文将详细介绍如何在 CentOS 系统上部署并配置 OpenVPN 服务,实现从外部网络安全接入内网资源。
准备工作
首先确保你已安装 CentOS 7 或 CentOS 8(建议使用 CentOS Stream 或 RHEL 8+ 更易获得最新支持),你需要一台具备公网 IP 的服务器,并拥有 root 权限或 sudo 权限,需要一个 DNS 域名或静态 IP 地址以便于客户端连接。
安装 OpenVPN 和 Easy-RSA
OpenVPN 是开源的 SSL/TLS-based VPN 解决方案,Easy-RSA 是用于生成证书和密钥的工具包,执行以下命令:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
安装完成后,复制 Easy-RSA 到 /etc/openvpn 目录并初始化 PKI(公钥基础设施):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa cp vars.example vars
编辑 vars 文件,根据你的需求设置组织名称、国家、省份等字段(如 CN=CN, O=MyCompany, C=US),保存后运行:
./clean-all ./build-ca
此步骤会生成根证书(ca.crt)和私钥(ca.key)。
生成服务器证书与密钥
继续在 same directory 中执行:
./build-key-server server
系统会提示是否签发证书,输入 yes,然后生成 Diffie-Hellman 参数以增强加密强度:
./build-dh
配置 OpenVPN 服务器
创建主配置文件 /etc/openvpn/server.conf如下(可根据实际需求调整):
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3启动并启用 OpenVPN 服务
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
配置防火墙(若启用 firewalld)
sudo firewall-cmd --permanent --add-port=1194/udp sudo firewall-cmd --reload
客户端配置
在客户端(Windows/macOS/Linux)上,需获取服务器 CA 证书、客户端证书和私钥,可通过 scp 或其他方式将 /etc/openvpn/easy-rsa/keys/client.crt、client.key 和 ca.crt 复制到客户端机器。
创建客户端配置文件(如 client.ovpn):
client
dev tun
proto udp
remote your-server-ip-or-domain 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
comp-lzo
verb 3将该文件导入 OpenVPN 客户端软件(如 OpenVPN Connect 或 GUI 工具),即可连接服务器。
测试与排错
连接成功后,可使用 ip addr show tun0 查看虚拟接口状态,通过 ping 内网地址验证连通性,常见问题包括证书过期、端口未开放、防火墙拦截等,应逐一排查。
通过以上步骤,你已在 CentOS 上成功搭建了 OpenVPN 服务,实现了安全的远程访问能力,此方案适合中小型企业部署内部应用、远程员工接入等场景,后续还可结合 TLS-Auth 加强安全性,或集成 LDAP 认证实现多用户管理,掌握这一技能,是成为一名合格网络工程师的必备基础。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
