在当今远程办公和分布式团队日益普及的背景下,建立一个稳定、安全的虚拟私人网络(VPN)服务已成为企业与个人用户的刚需,OpenVPN 是目前最成熟、开源且广泛使用的 VPN 解决方案之一,尤其适合在 Linux 系统上部署,本文将详细介绍如何在 CentOS 7 操作系统上搭建一个功能完整的 OpenVPN 服务器,确保数据传输加密、用户身份验证可靠,并具备良好的可扩展性。
第一步:准备工作
确保你有一台运行 CentOS 7 的服务器(推荐使用最小化安装版本),并拥有 root 权限或 sudo 权限,需要一个公网 IP 地址用于访问该服务器,若是在云服务商(如阿里云、腾讯云、AWS)上部署,请确保安全组规则允许 UDP 端口 1194(OpenVPN 默认端口)入站流量。
第二步:安装 OpenVPN 及 Easy-RSA 工具
CentOS 7 的官方仓库中包含 OpenVPN 软件包,可通过以下命令安装:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
Easy-RSA 是用于生成证书和密钥的工具,是 OpenVPN 安全认证的核心组件。
第三步:配置证书颁发机构(CA)
进入 Easy-RSA 目录并初始化 PKI(公钥基础设施):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件,设置国家、组织等信息(export KEY_COUNTRY="CN"、export KEY_PROVINCE="Beijing" 等),然后执行:
./clean-all ./build-ca
这会创建 CA 证书(ca.crt),用于后续所有客户端和服务端证书的签名。
第四步:生成服务器证书和密钥
运行:
./build-key-server server
系统会提示是否确认,输入 yes 并保存私钥密码(建议设置强密码),随后生成 server.crt 和 server.key。
第五步:生成 Diffie-Hellman 参数
这是 TLS 握手过程中用于密钥交换的重要参数:
./build-dh
第六步:配置 OpenVPN 服务端
复制模板配置文件到 /etc/openvpn/ 目录:
cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/
编辑 /etc/openvpn/server.conf,关键修改如下:
port 1194(UDP)proto udpdev tunca ca.crtcert server.crtkey server.keydh dh.pemserver 10.8.0.0 255.255.255.0(分配给客户端的 IP 段)push "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 8.8.8.8"
启用 IP 转发和防火墙规则(临时生效):
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p firewall-cmd --add-port=1194/udp --permanent firewall-cmd --add-masquerade --permanent firewall-cmd --reload
第七步:启动并测试服务
启动 OpenVPN 服务:
systemctl enable openvpn@server systemctl start openvpn@server
第八步:为客户端生成证书
在 Easy-RSA 目录下运行:
./build-key client1
导出客户端所需的 .crt、.key 和 ca.crt 文件,打包后分发给客户端设备(Windows、Linux、Android、iOS 均支持 OpenVPN 配置)。
第九步:客户端配置与连接
将客户端证书、私钥、CA 证书合并成一个 .ovpn 文件,并用 OpenVPN 客户端导入即可连接。
通过以上步骤,你已成功在 CentOS 7 上部署了一个功能完整的 OpenVPN 服务器,能够实现加密隧道通信、动态 IP 分配和灵活的用户管理,此方案不仅适用于小型团队远程办公,还可作为企业分支机构互联的低成本解决方案,后续可根据需求扩展双因素认证、日志审计或集成 LDAP 用户库,进一步提升安全性与管理效率。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
