在现代企业网络环境中,远程访问内网资源已成为日常运维和办公的重要需求,CentOS 7.3作为一款稳定、成熟且广泛使用的Linux发行版,常被部署在服务器端用于提供各类网络服务,OpenVPN是一款开源、功能强大且安全性高的虚拟私人网络(VPN)解决方案,适用于在公网环境下建立加密隧道,保障数据传输的安全性与隐私性,本文将详细介绍如何在CentOS 7.3系统中部署并配置OpenVPN服务,从而实现安全可靠的远程访问。
确保你拥有一个运行CentOS 7.3的服务器,并具备root权限或sudo权限,建议该服务器具有静态IP地址,以便于客户端连接时使用固定的服务器地址,需开放防火墙中的UDP 1194端口(OpenVPN默认端口),以允许外部流量通过,执行以下命令开启端口:
firewall-cmd --add-port=1194/udp --permanent firewall-cmd --reload
安装OpenVPN及相关依赖包,可通过EPEL源获取更多软件包支持:
yum install epel-release -y yum install openvpn easy-rsa -y
安装完成后,复制Easy-RSA脚本到OpenVPN配置目录,这是生成证书和密钥所必需的工具:
make-cadir /etc/openvpn/easy-rsa cp -r /etc/openvpn/easy-rsa/* /etc/openvpn/
进入Easy-RSA目录后,编辑vars文件,设置CA证书的基本信息,如国家、组织、省份等。
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@mycompany.com" export KEY_CN=server export KEY_NAME=server export KEY_OU=OpenVPN
接着执行初始化和生成根证书(CA)、服务器证书及密钥:
cd /etc/openvpn/easy-rsa source ./vars ./clean-all ./build-ca ./build-key-server server ./build-key client1 ./build-dh
这些步骤会生成包括ca.crt、server.crt、server.key、dh2048.pem等关键文件,它们是OpenVPN通信的基础。
完成证书生成后,创建OpenVPN服务器配置文件/etc/openvpn/server.conf如下:
port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh2048.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn-status.log verb 3
配置完成后,启动OpenVPN服务并设置开机自启:
systemctl start openvpn@server systemctl enable openvpn@server
将客户端所需的证书(如client1.crt、client1.key、ca.crt)打包发送给远程用户,用户可在Windows、macOS或Linux上使用OpenVPN GUI客户端导入这些文件,即可连接至服务器。
通过以上步骤,你已在CentOS 7.3上成功搭建了一个基于TLS/SSL加密的OpenVPN服务,能够为远程用户提供安全、稳定的网络接入能力,这种架构不仅适用于小型团队,也可扩展至大型企业环境,是构建零信任网络体系的重要一环。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
