在 CentOS 6.5 系统上搭建 OpenVPN 服务详解（含配置与安全优化）

随着远程办公和跨地域网络访问需求的增加，虚拟私人网络（VPN）已成为企业及个人用户保障网络安全的重要手段，CentOS 6.5 作为一款经典的 Linux 发行版，虽然已进入 EOL（生命周期结束）状态，但在某些遗留系统或特定场景中仍被广泛使用，本文将详细介绍如何在 CentOS 6.5 上成功搭建 OpenVPN 服务，涵盖安装、证书生成、配置文件设置、防火墙规则调整以及基础安全加固措施。

第一步：准备工作
确保你的 CentOS 6.5 系统已经完成基本更新，并安装了必要的开发工具包,执行以下命令：

yum update -y
yum groupinstall "Development Tools" -y

第二步：安装 OpenVPN 和 Easy-RSA
OpenVPN 是开源且成熟的 VPN 解决方案，其核心组件包括 openvpn 和用于证书管理的 easy-rsa，通过 YUM 安装：

yum install openvpn easy-rsa -y

第三步：配置证书颁发机构（CA）
Easy-RSA 提供了一套便捷的证书管理机制，复制模板到 /etc/openvpn/easy-rsa/ 并编辑变量文件：

cp -r /usr/share/easy-rsa/2.0 /etc/openvpn/easy-rsa/
cd /etc/openvpn/easy-rsa/
vi vars

修改如下参数：

• export KEY_COUNTRY="CN"
• export KEY_PROVINCE="Beijing"
• export KEY_CITY="Beijing"
• export KEY_ORG="MyCompany"
• export KEY_EMAIL="admin@mycompany.com"

接着初始化 PKI（公钥基础设施）并生成 CA 证书：

source ./vars
./clean-all
./build-ca

第四步：生成服务器和客户端证书
继续生成服务器证书和密钥：

./build-key-server server
./build-key client1

同时生成 Diffie-Hellman 参数（提升加密强度）：

./build-dh

第五步：配置 OpenVPN 服务器
将生成的证书和密钥复制到 OpenVPN 配置目录,并创建主配置文件：

mkdir -p /etc/openvpn/server
cp /etc/openvpn/easy-rsa/keys/{ca.crt,server.crt,server.key,ca.key,dh2048.pem} /etc/openvpn/server/

创建 /etc/openvpn/server/server.conf 文件，内容如下（关键配置）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

第六步：启动服务与防火墙配置
启用 OpenVPN 服务并设置开机自启：

chkconfig openvpn on
service openvpn start

若系统启用了 iptables，需开放 UDP 1194 端口：

iptables -A INPUT -p udp --dport 1194 -j ACCEPT
service iptables save

第七步：客户端配置与连接测试
客户端需配置 .ovpn 文件，包含 CA 证书、客户端证书、私钥和服务器地址，连接后可验证是否成功获取 IP 地址并访问内网资源。

安全建议：

• 使用强密码保护证书（如使用 PKCS#12 导出客户端证书）。
• 启用 TLS 认证（tls-auth），防止 DoS 攻击。
• 定期轮换证书，避免长期使用单一密钥。
• 建议部署在支持更新的系统上，CentOS 6.5 已不再受官方支持,存在潜在漏洞风险。

在 CentOS 6.5 上搭建 OpenVPN 虽然技术成熟，但务必注意其安全性限制，对于生产环境，建议逐步迁移到 CentOS Stream 或 RHEL 8+ 等更现代版本,以获得更好的性能与安全保障。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN