随着远程办公和分布式团队的普及,网络安全成为每个企业或个人用户不可忽视的重要环节,使用虚拟专用网络(VPN)可以有效加密通信流量、隐藏真实 IP 地址,并安全访问内网资源,Linode 作为一家广受欢迎的云主机提供商,以其高性价比和稳定性能被众多开发者和系统管理员青睐,本文将详细介绍如何在 Linode 的 CentOS 服务器上部署一个安全、高效的 OpenVPN 服务,帮助你构建自己的私有网络通道。
确保你已拥有 Linode 账户并成功创建一台运行 CentOS 7 或 CentOS 8 的虚拟机实例,登录到你的 Linode 控制台,获取该服务器的公网 IP 地址,并通过 SSH 连接进入终端,建议使用 root 用户权限操作,或先切换为 root:
ssh root@your_linode_ip
第一步是更新系统并安装必要的软件包,执行以下命令:
yum update -y yum install -y epel-release yum install -y openvpn easy-rsa
OpenVPN 是开源的跨平台 VPN 解决方案,而 Easy-RSA 提供了简便的证书管理工具,安装完成后,复制默认配置文件到适当位置:
cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/
我们生成证书和密钥对,这是整个 OpenVPN 安全机制的核心部分,进入 Easy-RSA 目录并初始化 PKI 环境:
cd /usr/share/easy-rsa/ make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa/
编辑 vars 文件,设置国家、省份、组织等信息,如:
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@example.com"
然后执行以下命令生成 CA 根证书和服务器证书:
./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server
接着生成 Diffie-Hellman 参数和 TLS 密钥:
./easyrsa gen-dh openvpn --genkey --secret ta.key
现在配置 /etc/openvpn/server.conf 文件,关键修改包括:
port 1194:指定监听端口(可改为其他非标准端口以增强安全性)proto udp:使用 UDP 协议更高效dev tun:使用隧道模式ca /etc/openvpn/easy-rsa/pki/ca.crtcert /etc/openvpn/easy-rsa/pki/issued/server.crtkey /etc/openvpn/easy-rsa/pki/private/server.keydh /etc/openvpn/easy-rsa/pki/dh.pemtls-auth ta.key 0:启用 TLS 验证server 10.8.0.0 255.255.255.0:分配客户端 IP 段push "redirect-gateway def1 bypass-dhcp":强制所有流量走隧道push "dhcp-option DNS 8.8.8.8":推送公共 DNS
配置完成后,启动 OpenVPN 服务并设置开机自启:
systemctl enable openvpn@server systemctl start openvpn@server
开启 Linux 的 IP 转发功能,在 /etc/sysctl.conf 中添加:
net.ipv4.ip_forward = 1
并执行:
sysctl -p
若你希望客户端连接时能访问外网资源,还需配置 iptables 规则:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
至此,一个完整的 Linode + CentOS + OpenVPN 服务已部署完成,你可以使用 .ovpn 配置文件分发给客户端(如 Windows、Android、iOS),即可实现安全远程访问,此方案不仅成本低,而且高度可控,适合中小企业和个人用户打造专属私密网络环境。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
