在当前网络环境日益复杂的背景下,企业或个人用户对远程访问内网资源、保障数据传输安全的需求愈发强烈,而OpenVPN作为一款开源、跨平台、功能强大的虚拟专用网络(VPN)解决方案,非常适合部署在CentOS 6这样的稳定Linux发行版上,本文将详细讲解如何在CentOS 6系统中从零开始搭建一个安全可靠的OpenVPN服务器,涵盖安装配置、证书生成、防火墙设置以及客户端连接步骤。
确保你的CentOS 6服务器已安装并更新至最新版本(建议使用CentOS 6.10,该版本支持至2024年),登录服务器后,执行以下命令安装必要的依赖包:
yum update -y yum install -y epel-release yum install -y openvpn easy-rsa iptables-services
我们使用Easy-RSA工具来生成证书和密钥,默认情况下,Easy-RSA的配置文件位于 /usr/share/easy-rsa/,我们可以复制到本地目录进行操作:
cp -r /usr/share/easy-rsa/* /etc/openvpn/ cd /etc/openvpn/
编辑 vars 文件,修改如下参数以符合你自己的组织信息:
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@example.com" export KEY_CN=server export KEY_NAME=server export KEY_ALTNAMES=server.example.com
然后执行初始化脚本和生成CA根证书:
./clean-all ./build-ca ./build-key-server server ./build-key client1 ./build-dh
这一步会生成服务器端和客户端所需的全部加密材料,包括CA证书、服务器私钥、客户端证书和Diffie-Hellman参数。
接下来配置OpenVPN主服务文件,创建 /etc/openvpn/server.conf 并写入基础配置:
port 1194 proto udp dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/server.crt key /etc/openvpn/server.key dh /etc/openvpn/dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn-status.log verb 3
此配置启用UDP协议、TUN模式、自动分配IP段(10.8.0.0/24),并推送DNS和路由策略,使客户端流量通过VPN隧道转发。
启动OpenVPN服务并设置开机自启:
service openvpn start chkconfig openvpn on
为确保服务器能正常通信,还需配置iptables规则允许1194端口(UDP)通行:
iptables -A INPUT -p udp --dport 1194 -j ACCEPT service iptables save service iptables restart
将生成的证书文件(client1.crt、client1.key、ca.crt)打包发送给客户端,客户端使用OpenVPN GUI(Windows)或OpenVPN Connect(移动端)导入配置文件即可连接。
注意事项:
- 定期更新证书有效期(通常为1年),避免过期导致连接失败。
- 建议启用日志记录以便排查问题。
- 若需多用户接入,可重复生成不同客户端证书。
通过以上步骤,你就可以在CentOS 6上成功部署一个功能完整、安全可控的OpenVPN服务器,满足远程办公、分支机构互联等常见场景需求,虽然CentOS 6已于2024年停止维护,但若仍在生产环境中使用,请务必关注安全补丁与替代方案(如迁移到CentOS Stream或Rocky Linux)。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
