随着远程办公和分布式团队的普及,企业对安全、稳定、可扩展的虚拟专用网络(VPN)需求日益增长,CentOS 6 作为一款经典的 Linux 发行版,在许多遗留系统中仍然广泛使用,本文将详细介绍如何在 CentOS 6 上搭建 OpenVPN 服务,实现远程用户安全访问内网资源,适用于中小型企业或个人开发者部署私有网络。
确保你有一台运行 CentOS 6 的服务器,并具备 root 权限,我们以 OpenVPN 2.3.x 版本为例,该版本在 CentOS 6 中兼容性良好,且文档丰富,安装前请确认系统已更新至最新补丁状态:
yum update -y
第一步:安装 OpenVPN 和 Easy-RSA 工具包
OpenVPN 是开源的 SSL/TLS 协议实现,支持多种加密算法,安全性高,Easy-RSA 是用于生成证书和密钥的工具集,是搭建 PKI(公钥基础设施)的核心组件。
yum install -y openvpn easy-rsa
第二步:配置证书颁发机构(CA)
进入 Easy-RSA 目录并初始化 CA:
cd /usr/share/easy-rsa/ cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa/
编辑 vars 文件,设置国家、组织等信息,
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@mycompany.com" export KEY_NAME="server"
执行以下命令生成 CA 私钥和证书:
./clean-all ./build-ca
第三步:生成服务器证书和密钥
创建服务器证书(注意不要覆盖 CA 证书):
./build-key-server server
此步骤会提示是否信任该证书,输入 yes 并按回车。
第四步:生成客户端证书
为每个客户端生成唯一证书(如 client1):
./build-key client1
第五步:生成 Diffie-Hellman 参数
这是 TLS 握手过程中用于密钥交换的关键参数:
./build-dh
第六步:配置 OpenVPN 服务端
复制模板文件并修改配置:
cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/ vim /etc/openvpn/server.conf
关键配置项如下(根据实际情况调整):
port 1194:监听端口(默认 UDP)proto udp:协议类型dev tun:使用隧道模式ca ca.crt、cert server.crt、key server.key:证书路径dh dh.pem:Diffie-Hellman 参数server 10.8.0.0 255.255.255.0:分配给客户端的 IP 段push "redirect-gateway def1 bypass-dhcp":强制客户端流量通过 VPNpush "dhcp-option DNS 8.8.8.8":指定 DNS 服务器
第七步:启动服务并配置开机自启
启用 IP 转发(使服务器能转发数据包):
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
启动 OpenVPN:
service openvpn start chkconfig openvpn on
第八步:配置防火墙(iptables)
允许 OpenVPN 流量通过:
iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE service iptables save
将客户端配置文件(client.ovpn)分发给用户,内容包括 CA 证书、客户端证书、密钥及服务器地址,即可连接使用。
在 CentOS 6 上搭建 OpenVPN 不仅成本低、稳定性好,还能灵活定制权限控制和日志审计,虽然 CentOS 6 已于 2024 年停止维护,但在受控环境中仍可继续使用,建议后续逐步迁移至 CentOS Stream 或 AlmaLinux 等更现代的发行版,以获得长期安全支持。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
