随着远程办公和移动设备的普及,越来越多的企业和个人用户需要通过安全、稳定的网络连接访问内部资源或实现异地组网,虚拟私人网络(VPN)作为保障数据传输隐私与安全的重要手段,成为现代网络架构中的关键一环,本文将详细介绍如何在CentOS VPS(虚拟专用服务器)上搭建一套基于OpenVPN的自建VPN服务,适用于个人使用、小型团队或企业内网接入。
确保你已拥有一个运行CentOS 7或8的VPS实例,并具备root权限,推荐使用CentOS Stream或CentOS Linux 7/8,因为它们长期支持且社区活跃,适合部署生产环境,登录VPS后,执行以下步骤:
第一步:更新系统并安装必要工具
sudo yum update -y sudo yum install -y epel-release sudo yum install -y openvpn easy-rsa iptables-services
第二步:配置OpenVPN证书颁发机构(CA)
OpenVPN依赖PKI(公钥基础设施)进行身份验证,需生成证书和密钥,使用easy-rsa脚本工具:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa cp vars.example vars
编辑vars文件,根据实际需求设置国家、组织名等信息,然后执行:
./clean-all ./build-ca ./build-key-server server ./build-key client1 # 可为每个客户端单独生成证书 ./build-dh
第三步:配置OpenVPN服务器
创建主配置文件 /etc/openvpn/server.conf示例如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3第四步:启用IP转发与防火墙规则
修改/etc/sysctl.conf中添加:
net.ipv4.ip_forward = 1生效后执行:
sysctl -p
配置iptables规则以允许流量转发:
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE service iptables save
第五步:启动服务并测试
systemctl enable openvpn@server systemctl start openvpn@server
将生成的证书和密钥(如client1.crt, client1.key, ca.crt)打包发送给客户端,使用OpenVPN GUI或命令行工具导入配置即可连接。
该方案具有成本低、可控性强、安全性高等优点,特别适合对隐私要求高的用户,建议定期更新证书、限制访问IP、启用日志监控以增强安全性,通过合理配置,你的CentOS VPS将成为一个稳定可靠的私有网络入口。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
