在企业网络和远程办公日益普及的今天,虚拟私人网络(VPN)已成为保障数据传输安全的重要手段,CentOS 7.2 作为一款稳定、成熟的企业级 Linux 发行版,非常适合用于部署 OpenVPN 服务,本文将详细介绍如何在 CentOS 7.2 系统中从零开始搭建 OpenVPN 服务,涵盖环境准备、证书生成、配置文件编写、防火墙设置及客户端连接等关键步骤。
确保你拥有一个运行 CentOS 7.2 的服务器,并具备 root 权限或 sudo 权限,建议使用最小化安装版本以减少系统冗余,我们通过 EPEL 源安装所需的软件包:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
OpenVPN 依赖 Easy-RSA 工具来管理 TLS/SSL 证书和密钥,这是构建安全通信的核心,复制 Easy-RSA 示例目录到 /etc/openvpn 并初始化 CA:
sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo sed -i 's/^#set_var EASYRSA_KEY_SIZE.*/set_var EASYRSA_KEY_SIZE 2048/' vars sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass
这里我们创建了一个无需密码保护的根证书颁发机构(CA),适用于自动化部署场景,接着为服务器和客户端分别生成证书请求并签发:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
完成后,将生成的证书和密钥复制到 OpenVPN 配置目录(如 /etc/openvpn/server/)并授权访问权限:
sudo cp pki/ca.crt pki/private/server.key pki/issued/server.crt /etc/openvpn/server/ sudo chown root:root /etc/openvpn/server/* sudo chmod 600 /etc/openvpn/server/*
然后编辑主配置文件 /etc/openvpn/server/server.conf如下(可根据需求调整端口、协议、加密算法):
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3注意:你需要先执行 sudo ./easyrsa gen-dh 生成 Diffie-Hellman 参数文件(dh.pem),并将其放入配置目录。
启动 OpenVPN 服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
在防火墙上开放 UDP 1194 端口,并启用 IP 转发(若需路由功能):
sudo firewall-cmd --permanent --add-port=1194/udp sudo firewall-cmd --reload echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
客户端可通过 OpenVPN 客户端工具导入 .ovpn 文件连接,该文件包含服务器地址、证书、密钥等信息,可由管理员分发给用户。
至此,基于 CentOS 7.2 的 OpenVPN 服务已成功搭建,支持多用户并发接入,满足企业远程办公和安全访问需求,后续可根据业务扩展添加双因素认证、日志审计等功能,进一步提升安全性与可管理性。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
