在企业网络部署或远程办公场景中,虚拟私人网络(VPN)已成为保障数据传输安全与隐私的重要工具,CentOS作为一款稳定、开源的Linux发行版,广泛应用于服务器环境中,本文将详细介绍如何在CentOS 7/8系统上搭建OpenVPN服务,涵盖安装、配置、防火墙设置及客户端连接步骤,帮助网络工程师快速部署一套安全可靠的私有VPN通道。
第一步:准备工作
确保你已获得一台CentOS服务器(建议使用最小化安装版本),并拥有root权限,通过SSH登录后,先更新系统软件包:
yum update -y
第二步:安装OpenVPN及相关依赖
OpenVPN依赖Easy-RSA来管理证书和密钥,我们首先安装这些组件:
yum install epel-release -y yum install openvpn easy-rsa -y
第三步:配置证书颁发机构(CA)
复制Easy-RSA模板到/etc/openvpn目录,并初始化PKI(公钥基础设施):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa vi vars
编辑vars文件,根据实际需求修改国家代码(如CN=CN)、组织名称等字段,保存退出,然后执行以下命令生成CA证书和服务器证书:
source ./vars ./clean-all ./build-ca ./build-key-server server ./build-key client1 # 为第一个客户端生成证书 ./build-dh
第四步:配置OpenVPN服务器
复制示例配置文件:
cp /usr/share/doc/openvpn-*/sample-config-files/server.conf /etc/openvpn/
编辑/etc/openvpn/server.conf,关键参数如下:
port 1194:指定监听端口(可改)proto udp:推荐使用UDP协议提高性能dev tun:创建TUN虚拟网卡ca /etc/openvpn/easy-rsa/pki/ca.crtcert /etc/openvpn/easy-rsa/pki/issued/server.crtkey /etc/openvpn/easy-rsa/pki/private/server.keydh /etc/openvpn/easy-rsa/pki/dh.pemserver 10.8.0.0 255.255.255.0:分配客户端IP段push "redirect-gateway def1 bypass-dhcp":强制客户端流量走VPNpush "dhcp-option DNS 8.8.8.8":推送DNS服务器
第五步:启用IP转发与防火墙规则
编辑/etc/sysctl.conf,取消注释:
net.ipv4.ip_forward = 1
应用配置:
sysctl -p
配置iptables(若使用firewalld则用相应命令):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
第六步:启动服务并设置开机自启
systemctl start openvpn@server systemctl enable openvpn@server
第七步:客户端配置
将ca.crt、client1.crt、client1.key和ta.key(由openvpn --genkey --secret ta.key生成)打包成.ovpn包含:
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1在Windows/macOS/Linux客户端导入该配置即可连接,此方案提供端到端加密、用户认证和灵活路由策略,适合中小型团队使用,记住定期更新证书、监控日志(/var/log/messages)并备份配置文件,是运维安全的关键习惯。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
