在现代企业网络架构中,虚拟私人网络(VPN)技术已成为保障远程访问安全、实现跨地域数据传输的重要手段,作为一款稳定且广泛使用的 Linux 发行版,CentOS(尤其是 CentOS 7 和 CentOS 8/Stream)非常适合部署 OpenVPN 服务,本文将详细介绍如何在 CentOS 系统上安装、配置并启动 OpenVPN 服务,帮助网络工程师快速构建一个可信赖的远程接入环境。
第一步:准备工作
确保你的 CentOS 系统已更新至最新状态,并拥有 root 权限或 sudo 访问权限,执行以下命令更新系统包:
sudo yum update -y
启用 EPEL 源(Extra Packages for Enterprise Linux),因为 OpenVPN 的某些依赖项可能不在默认仓库中:
sudo yum install epel-release -y
第二步:安装 OpenVPN 及 Easy-RSA
OpenVPN 是开源的 SSL/TLS 协议实现,支持多种认证方式,使用 YUM 安装 OpenVPN:
sudo yum install openvpn easy-rsa -y
Easy-RSA 是用于生成证书和密钥的工具,是 OpenVPN 配置中的关键组件。
第三步:配置 PKI(公钥基础设施)
首先复制 Easy-RSA 到 /etc/openvpn 目录并初始化:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件,根据需要修改如下参数(例如组织名称、国家代码等):
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@mycompany.com" export KEY_CN="server" export KEY_NAME="server" export KEY_ALTNAMES="server.mycompany.com"
然后执行以下命令生成 CA 根证书和服务器证书:
./clean-all ./build-ca ./build-key-server server ./build-dh
这些步骤会生成用于身份验证和加密通信所需的密钥文件。
第四步:配置 OpenVPN 服务端
创建主配置文件 /etc/openvpn/server.conf示例如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3此配置指定了 UDP 协议、TUN 模式、IP 分配范围(10.8.0.0/24),并启用了 DNS 重定向和压缩功能。
第五步:启动并设置开机自启
启用防火墙允许 OpenVPN 流量(UDP 1194):
sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --reload
启动 OpenVPN 服务:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
检查状态:
systemctl status openvpn@server
第六步:客户端配置
为每个用户生成客户端证书和配置文件,方法类似服务器证书生成过程,但需使用 build-key client1 命令,客户端配置文件应包含服务器地址、CA 证书、客户端证书和私钥路径。
通过上述步骤,你可以在 CentOS 上成功部署并运行 OpenVPN 服务,该方案适用于中小型企业远程办公、分支机构互联等场景,后续建议结合 iptables/NAT 规则实现内网穿透,并定期轮换证书以增强安全性,对于生产环境,还应考虑集成双因素认证(如 Google Authenticator)和日志审计功能,进一步提升整体网络防护能力。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
