在企业网络环境中,尤其是在使用旧版本操作系统如 CentOS 5.5 的场景中,搭建安全的远程访问通道(即 VPN)仍具有现实意义,尽管 CentOS 5.5 已于2017年停止官方支持,且其内核版本为 2.6.18,但许多遗留系统仍运行在该平台上,用于特定工业控制、医疗设备或小型业务服务器,本文将详细介绍如何在 CentOS 5.5 上通过 OpenVPN 搭建一个稳定、可管理的点对点虚拟私有网络服务,帮助网络工程师实现远程安全接入。
准备工作必不可少,确保你的 CentOS 5.5 主机具备公网 IP 地址,并已配置好基本的网络服务(如 SSH、DNS 和防火墙),由于 CentOS 5.5 默认不包含 OpenVPN,需从第三方源安装,EPEL(Extra Packages for Enterprise Linux)仓库,执行以下命令添加 EPEL 源:
rpm -Uvh http://download.fedoraproject.org/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm
随后,使用 yum 安装 OpenVPN 及相关依赖包:
yum install openvpn easy-rsa
安装完成后,进入 EasyRSA 目录(通常位于 /usr/share/easy-rsa),初始化证书颁发机构(CA)环境,这是建立信任链的基础步骤:
cd /usr/share/easy-rsa cp vars.example vars vi vars
编辑 vars 文件,设置国家、省份、组织名称等字段,然后执行:
./clean-all ./build-ca
这会生成 CA 根证书(ca.crt),后续所有客户端和服务端证书都基于此签发。
接下来创建服务器证书和密钥:
./build-key-server server
按提示输入相关信息,最后确认是否签署证书,同样地,为客户端创建证书:
./build-key client1
注意:建议为每个需要连接的用户单独生成证书,便于权限管理和撤销操作。
证书准备就绪后,复制必要的文件到 OpenVPN 配置目录:
mkdir -p /etc/openvpn cp /usr/share/easy-rsa/keys/ca.crt /etc/openvpn/ cp /usr/share/easy-rsa/keys/server.crt /etc/openvpn/ cp /usr/share/easy-rsa/keys/server.key /etc/openvpn/ cp /usr/share/easy-rsa/keys/ta.key /etc/openvpn/
若未生成 ta.key,可通过以下命令生成:
openvpn --genkey --secret ta.key
现在编写主配置文件 /etc/openvpn/server.conf,关键配置项包括监听端口(默认 UDP 1194)、TLS 设置、证书路径、IP 分配池(如 10.8.0.0/24)以及启用路由转发:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3注意:push "redirect-gateway" 会强制客户端流量走 VPN,适合内网穿透需求,但需谨慎使用,避免影响本地网络访问。
启动 OpenVPN 服务并设置开机自启:
service openvpn start chkconfig openvpn on
开启 IP 转发功能以支持 NAT 路由:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
在防火墙上开放 UDP 1194 端口,并配置 iptables 规则实现客户端访问控制:
iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
至此,OpenVPN 服务已在 CentOS 5.5 上成功部署,客户端只需将 ca.crt、client1.crt、client1.key 和 ta.key 合并成 .ovpn 文件,即可通过 OpenVPN 客户端软件连接,对于老旧系统的网络维护人员而言,这一方案不仅满足基础安全访问需求,也体现了对历史资产的有效利用与安全保障能力。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
