CentOS 6.6 系统下搭建 OpenVPN 服务完整指南（适用于老旧环境运维）

在企业网络环境中，尤其是在使用 CentOS 6.6 这类较老但仍在维护的系统时，如何安全地远程访问内网资源是一个常见且重要的问题，OpenVPN 是一个开源、跨平台的虚拟专用网络（VPN）解决方案，它基于 OpenSSL 和 SSL/TLS 协议，安全性高、配置灵活，非常适合部署在 CentOS 6.6 这类稳定但不支持最新软件包的系统上。

本文将详细介绍如何在 CentOS 6.6 系统中安装、配置并启动 OpenVPN 服务,确保你可以在本地或远程安全地接入内网资源。

第一步：准备工作
确保你的 CentOS 6.6 系统已更新至最新补丁，并配置了静态 IP 地址,建议先执行以下命令更新系统：

yum update -y

添加 EPEL 源（如果尚未安装）以获取更多依赖包：

rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

第二步：安装 OpenVPN 和 Easy-RSA
Easy-RSA 是用于生成证书和密钥的工具，是 OpenVPN 安全通信的基础,执行以下命令安装：

yum install openvpn easy-rsa -y

第三步：配置 CA 和服务器证书
首先复制 Easy-RSA 配置文件到 /etc/openvpn 目录：

cp -r /usr/share/easy-rsa /etc/openvpn/
cd /etc/openvpn/easy-rsa/2.0/

编辑 vars 文件,设置证书参数：

vi vars
```根据实际需求调整）：

export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@mycompany.com"

然后执行初始化脚本和证书生成流程：
```bash
source ./vars
./clean-all
./build-ca    # 生成 CA 证书
./build-key-server server    # 生成服务器证书
./build-key client1    # 生成客户端证书（可多个）
./build-dh    # 生成 Diffie-Hellman 参数

第四步：配置 OpenVPN 服务器
创建主配置文件：

cp /usr/share/doc/openvpn-2.3.6/sample-config-files/server.conf /etc/openvpn/
vi /etc/openvpn/server.conf

关键配置项如下（可根据需要调整）：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

第五步：启用 IP 转发与防火墙规则
编辑 /etc/sysctl.conf，启用 IP 转发：

net.ipv4.ip_forward = 1

应用更改：

sysctl -p

配置 iptables 规则允许流量转发：

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT
service iptables save

第六步：启动服务
启动 OpenVPN 服务并设置开机自启：

service openvpn start
chkconfig openvpn on

客户端可通过 .ovpn 配置文件连接到服务器，实现加密隧道访问内网，整个过程虽然略显繁琐，但在 CentOS 6.6 这类遗留系统中，OpenVPN 是最成熟可靠的方案之一，特别适合用于远程办公、站点间互联等场景，建议结合 SSH 密钥认证进一步提升安全性。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN