在当前远程办公和分布式部署日益普及的背景下,如何为CentOS VPS(虚拟专用服务器)安全地配置一个可靠的VPN服务,成为许多网络工程师和系统管理员的刚需,OpenVPN是一款开源、跨平台且功能强大的SSL/TLS协议实现,特别适合在CentOS环境下搭建企业级或个人使用的私有网络通道,本文将详细介绍如何在CentOS 7/8或更高版本的VPS上部署并配置OpenVPN服务,确保用户能够安全、稳定、高效地远程访问内网资源。
准备工作必不可少,你需要一台已安装CentOS操作系统的VPS,并具备root权限,建议使用CentOS Stream或CentOS 7/8的最小化安装版本以减少冗余服务带来的安全隐患,登录服务器后,更新系统包管理器:
yum update -y
安装EPEL源和OpenVPN相关依赖包:
yum install epel-release -y yum install openvpn easy-rsa -y
Easy-RSA是用于生成证书和密钥的工具,OpenVPN则负责建立加密隧道,配置PKI(公钥基础设施),进入Easy-RSA目录:
cd /usr/share/easy-rsa/ cp -r /usr/share/easy-rsa/* /etc/openvpn/
然后初始化PKI环境并生成CA根证书:
./easyrsa init-pki ./easyrsa build-ca nopass
这里不需要设置密码,便于自动化部署,接下来生成服务器证书和密钥:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
同样,为客户端生成证书(可多台设备共用同一证书,也可为每个设备单独生成):
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
完成证书签署后,复制必要文件到OpenVPN配置目录:
cp /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/ cp /etc/openvpn/easy-rsa/pki/issued/server.crt /etc/openvpn/ cp /etc/openvpn/easy-rsa/pki/private/server.key /etc/openvpn/
现在创建OpenVPN主配置文件 /etc/openvpn/server.conf如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3注意:dh.pem需通过以下命令生成(若未自动生成):
./easyrsa gen-dh cp pki/dh.pem /etc/openvpn/
配置完成后,启用并启动OpenVPN服务:
systemctl enable openvpn@server systemctl start openvpn@server
在防火墙中开放UDP 1194端口(若使用firewalld):
firewall-cmd --permanent --add-port=1194/udp firewall-cmd --reload
至此,OpenVPN服务已成功部署,客户端只需获取ca.crt、client1.crt、client1.key三份文件,并配置OpenVPN客户端软件(如OpenVPN Connect),即可连接至你的CentOS VPS,实现加密远程访问,该方案支持多用户、灵活策略、高安全性,是中小型项目和家庭用户的理想选择。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
