随着远程办公和分布式团队的普及,企业对安全、稳定、可扩展的虚拟私人网络(VPN)服务需求日益增长,CentOS 7 作为一款成熟稳定的 Linux 发行版,非常适合用于搭建企业级 OpenVPN 服务器,本文将详细介绍如何在 CentOS 7 系统上部署和配置 OpenVPN 服务,确保用户通过加密隧道安全访问内部资源。
我们需要准备一台运行 CentOS 7 的物理或虚拟服务器,并确保其具备公网 IP 地址(如使用云服务器提供商,如阿里云、腾讯云等),登录服务器后,建议先更新系统软件包:
sudo yum update -y
接下来安装 EPEL 源(Extra Packages for Enterprise Linux),因为 OpenVPN 在默认仓库中可能版本较旧:
sudo yum install epel-release -y
然后安装 OpenVPN 和 Easy-RSA(用于证书管理):
sudo yum install openvpn easy-rsa -y
安装完成后,我们进入 Easy-RSA 配置目录,初始化证书颁发机构(CA):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件,设置证书相关的参数(如国家、组织名称等):
vi vars
根据实际情况填写):
export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"
export KEY_OU="IT Department"接着执行以下命令生成 CA 证书和密钥:
./clean-all ./build-ca
生成服务器证书和密钥:
./build-key-server server
为客户端生成证书(每个用户一个证书):
./build-key client1
最后生成 Diffie-Hellman 参数(增强加密强度):
./build-dh
我们将生成的文件复制到 OpenVPN 配置目录:
cp ca.crt ca.key dh2048.pem server.crt server.key /etc/openvpn/
创建主配置文件 /etc/openvpn/server.conf如下(可根据需要调整端口、协议、加密方式等):
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3启用 IP 转发功能,允许服务器转发来自客户端的流量:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
配置防火墙(firewalld)开放 OpenVPN 端口:
sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --reload
启动并设置开机自启 OpenVPN 服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
至此,OpenVPN 服务器已成功部署,客户端可通过 .ovpn 文件连接,该文件包含服务器地址、证书、密钥等信息,建议为每个用户单独生成证书,并通过集中管理平台分发配置文件,提升安全性与可维护性。
本方案基于 CentOS 7 和 OpenVPN 实现了高可用、强加密的远程访问能力,相比其他开源方案(如 WireGuard),OpenVPN 更适合已有运维团队熟悉 SSL/TLS 加密体系的企业环境,结合日志监控和定期证书轮换策略,可进一步提升整体安全性,满足企业级合规要求。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
