在企业网络环境中,尤其是在使用 CentOS 6.6 这类较老但仍在维护的系统时,如何安全地远程访问内网资源是一个常见需求,OpenVPN 是一个开源、跨平台的虚拟私人网络(VPN)解决方案,它支持多种认证方式和加密协议,在 CentOS 6.6 上部署相对成熟且稳定,本文将详细介绍如何在 CentOS 6.6 系统中从零开始配置并运行 OpenVPN 服务,帮助网络管理员实现安全远程接入。
确保你的 CentOS 6.6 系统已经完成基础更新,并安装了必要的开发工具包,执行以下命令:
yum update -y yum groupinstall "Development Tools" -y
安装 EPEL 源以便获取 OpenVPN 及其依赖项,CentOS 6.6 默认源中可能不包含最新版本的 OpenVPN,因此推荐使用 EPEL:
rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum install openvpn easy-rsa -y
Easy-RSA 是用于生成证书和密钥的工具,是 OpenVPN 安全通信的基础,配置完成后,我们进入证书签发流程:
-
复制 Easy-RSA 配置文件到默认路径:
cp -r /usr/share/easy-rsa/ /etc/openvpn/ cd /etc/openvpn/easy-rsa/
-
编辑
vars文件,设置国家、省份、组织等信息(可按需修改):vi vars
修改如
export KEY_COUNTRY="CN"、export KEY_PROVINCE="Beijing"等字段。 -
初始化 PKI(公钥基础设施):
. ./vars ./clean-all ./build-ca ./build-key-server server ./build-key client1 ./build-dh
这一步会生成服务器证书、客户端证书、Diffie-Hellman 参数等关键文件,完成后,将相关文件复制到 OpenVPN 配置目录:
cp ca.crt ca.key server.crt server.key dh1024.pem /etc/openvpn/
接着创建主配置文件 /etc/openvpn/server.conf如下(可根据实际网络调整):
port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh1024.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log verb 3
配置说明:
port 1194:OpenVPN 默认端口;server 10.8.0.0 255.255.255.0:定义内部子网;push "redirect-gateway":强制客户端流量走隧道;comp-lzo:启用压缩提升性能。
最后启动服务并设置开机自启:
service openvpn start chkconfig openvpn on
若防火墙开启,请放行 UDP 1194 端口:
iptables -A INPUT -p udp --dport 1194 -j ACCEPT service iptables save
至此,OpenVPN 服务已在 CentOS 6.6 上成功部署,客户端只需将 ca.crt、client1.crt、client1.key 和配置文件打包发送给用户,即可通过 OpenVPN 客户端连接服务器,实现安全远程办公或内网访问。
虽然 CentOS 6.6 已于 2024 年停止官方支持,但在特定遗留系统中仍具价值,合理利用 OpenVPN 可以在保证安全性的同时满足旧系统远程管理需求,建议定期备份配置和证书,并考虑逐步迁移至更现代的平台(如 CentOS Stream 或 AlmaLinux)。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
