CentOS系统下配置OpenVPN服务的完整指南，从安装到客户端连接

在现代企业网络和远程办公环境中，虚拟私人网络（VPN）已成为保障数据安全传输的重要手段，CentOS作为一款稳定、开源且广泛应用于服务器环境的操作系统，是部署OpenVPN服务的理想选择，本文将详细介绍如何在CentOS 7或CentOS 8系统中安装、配置并测试OpenVPN服务，确保用户能够安全、高效地访问内网资源。

第一步：准备工作
确保你已拥有一个运行CentOS的服务器，并具备root权限，通过SSH登录服务器后，执行以下命令更新系统包列表：

sudo yum update -y

第二步：安装OpenVPN及相关工具
OpenVPN依赖于Easy-RSA来生成证书和密钥，使用YUM包管理器安装OpenVPN和Easy-RSA：

sudo yum install openvpn easy-rsa -y

第三步：配置证书颁发机构（CA）
首先复制Easy-RSA模板文件到默认路径：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件以设置CA相关参数（如国家、组织名称等）：

nano vars
```示例）：

export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@mycompany.com"

接着执行初始化和生成CA证书：  
```bash
./clean-all
./build-ca

按照提示输入CA名称（如“OpenVPN CA”）,确认即可。

第四步：生成服务器和客户端证书
生成服务器证书：

./build-key-server server

生成客户端证书（可为多个用户生成不同证书）：

./build-key client1

最后生成Diffie-Hellman密钥交换参数：

./build-dh

第五步：配置OpenVPN服务器
将生成的证书和密钥文件复制到OpenVPN配置目录：

cp keys/{ca.crt,server.crt,server.key,dh2048.pem} /etc/openvpn/

创建主配置文件 /etc/openvpn/server.conf：

nano /etc/openvpn/server.conf

添加以下关键配置项（可根据需求调整）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

第六步：启用IP转发和防火墙规则
编辑 /etc/sysctl.conf 启用IP转发：

net.ipv4.ip_forward = 1

应用更改：

sysctl -p

配置防火墙（若使用firewalld）：

sudo firewall-cmd --add-port=1194/udp --permanent
sudo firewall-cmd --add-masquerade --permanent
sudo firewall-cmd --reload

第七步：启动OpenVPN服务并设置开机自启

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

第八步：配置客户端连接
将 ca.crt、client1.crt、client1.key 复制到客户端机器（如Windows或Linux），创建客户端配置文件（如 client1.ovpn）：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

客户端可通过OpenVPN GUI或命令行连接,验证是否成功建立隧道。

通过以上步骤，你已在CentOS上成功搭建了一个功能完整的OpenVPN服务，该方案适用于中小型企业、远程办公场景或个人隐私保护需求，建议定期备份证书与密钥，同时监控日志（位于 /var/log/messages 或 /etc/openvpn/openvpn-status.log）以确保服务稳定，未来还可结合双因素认证（如Google Authenticator）进一步提升安全性。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN