在企业网络环境中,尤其是在使用 CentOS 6.5 这类较老但仍在运行的服务器系统时,如何安全地远程访问内网资源是一个常见需求,OpenVPN 是一个开源、功能强大且广泛支持的虚拟私人网络(VPN)解决方案,它能为 CentOS 6.5 提供加密隧道连接,实现远程用户或分支机构与本地网络的安全通信,本文将详细介绍如何在 CentOS 6.5 系统中部署和配置 OpenVPN 服务,确保安全性与可用性。
确认你的 CentOS 6.5 系统已安装基础开发工具包和必要的依赖库,执行以下命令:
yum update -y yum groupinstall "Development Tools" -y yum install openssl-devel lzo-devel pam-devel easy-rsa -y
下载并编译安装 OpenVPN,由于 CentOS 6.5 的默认软件源可能不包含最新版本的 OpenVPN,建议从官方源码编译安装:
cd /tmp wget https://github.com/OpenVPN/openvpn/archive/v2.4.10.tar.gz tar -xzf v2.4.10.tar.gz cd openvpn-2.4.10 ./configure --enable-linux-tun make && make install
安装完成后,创建证书颁发机构(CA),这是 OpenVPN 安全性的核心,使用 Easy-RSA 工具:
cp -r /usr/share/easy-rsa/ /etc/openvpn/ cd /etc/openvpn/easy-rsa/ vi vars # 修改变量如国家、组织等,根据实际需求设置 source ./vars ./clean-all ./build-ca
接下来生成服务器证书和密钥:
./build-key-server server ./build-key client1 # 为每个客户端生成唯一证书
同时生成 Diffie-Hellman 参数和 TLS 密钥(用于增强加密强度):
./build-dh openvpn --genkey --secret ta.key
配置 OpenVPN 服务器主文件 /etc/openvpn/server.conf,这是一个关键步骤,需要根据你的网络拓扑调整参数,示例配置如下:
port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/keys/ca.crt cert /etc/openvpn/easy-rsa/keys/server.crt key /etc/openvpn/easy-rsa/keys/server.key dh /etc/openvpn/easy-rsa/keys/dh2048.pem tls-auth /etc/openvpn/ta.key 0 server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn-status.log verb 3
确保启用 IP 转发并配置 iptables 规则:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -p udp --dport 1194 -j ACCEPT service iptables save
启动 OpenVPN 服务并设置开机自启:
chkconfig openvpn on service openvpn start
至此,OpenVPN 服务已在 CentOS 6.5 上成功部署,客户端只需导出 ca.crt、client1.crt、client1.key 和 ta.key 文件,通过 OpenVPN 客户端软件连接即可,对于 Windows 用户,推荐使用 OpenVPN GUI for Windows;Linux 用户可直接使用 openvpn --config client.ovpn 命令。
需要注意的是,CentOS 6.5 已于 2024 年初停止维护,存在安全风险,建议逐步迁移至 CentOS Stream 或 RHEL 8+ 等更新版本,以获得长期支持和更稳定的 OpenVPN 实现,但在过渡阶段,上述方案仍能为老旧系统提供可靠、加密的远程访问能力。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
