在企业网络和远程办公日益普及的今天,通过虚拟私人网络(VPN)实现安全远程访问已成为网络工程师的必备技能,CentOS 5.10 作为一款经典的企业级 Linux 发行版,在许多遗留系统中仍广泛使用,尽管该版本已于2017年停止官方支持(EOL),但其稳定性和兼容性仍使其在特定场景中具有实用价值,本文将详细介绍如何在 CentOS 5.10 系统上部署和配置 OpenVPN,以构建一个安全、可靠的远程访问通道。
确保你已安装并配置好 CentOS 5.10 系统,并具备 root 权限,OpenVPN 是开源的 VPN 解决方案,支持多种加密协议(如 TLS、AES 等),适合中小型网络环境,我们将在 CentOS 5.10 上使用 yum 安装 OpenVPN 及其依赖包:
yum install openvpn easy-rsa -y
接下来是证书和密钥的生成,这是 OpenVPN 安全性的核心环节,Easy-RSA 是 OpenVPN 自带的 PKI 工具,用于创建 CA(证书颁发机构)、服务器证书和客户端证书:
-
复制 Easy-RSA 配置文件到
/etc/openvpn目录:cp -r /usr/share/easy-rsa /etc/openvpn/ cd /etc/openvpn/easy-rsa/2.0
-
编辑
vars文件,设置国家、组织等信息(如export KEY_COUNTRY="CN")。 -
执行以下命令初始化 PKI 并生成 CA:
./clean-all ./build-ca
-
生成服务器证书和密钥:
./build-key-server server
-
为每个客户端生成独立证书和密钥(例如用户 A):
./build-key clientA
-
生成 Diffie-Hellman 参数(用于密钥交换):
./build-dh
完成证书生成后,需要配置 OpenVPN 服务端主文件 /etc/openvpn/server.conf,以下是关键配置项示例:
port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/easy-rsa/2.0/keys/server.crt key /etc/openvpn/easy-rsa/2.0/keys/server.key dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log verb 3
配置完成后,启动 OpenVPN 服务并设置开机自启:
/etc/init.d/openvpn start chkconfig openvpn on
你需要启用 IP 转发功能,使服务器能够转发来自客户端的数据包,编辑 /etc/sysctl.conf,添加:
net.ipv4.ip_forward = 1
然后执行 sysctl -p 生效。
对于客户端,可下载 ca.crt、clientA.crt 和 clientA.key,并创建一个 .ovpn 配置文件。
client dev tun proto udp remote your-server-ip 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert clientA.crt key clientA.key comp-lzo verb 3
在防火墙上开放 UDP 1194 端口(若使用 iptables):
iptables -A INPUT -p udp --dport 1194 -j ACCEPT service iptables save
至此,一个基于 CentOS 5.10 的 OpenVPN 服务已成功搭建,客户端可通过 SSL/TLS 加密隧道安全接入内网资源,虽然 CentOS 5.10 已过时,但本教程所涉及的原理和步骤对理解现代 OpenVPN 部署仍有参考价值,建议在生产环境中逐步迁移到受支持的系统(如 CentOS Stream 或 Rocky Linux)。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
