在当前网络环境日益复杂的背景下,企业与个人用户对远程访问安全性的需求不断提升,对于资源有限但又需要实现远程安全接入的场景,使用一台仅配置单网卡的CentOS服务器搭建OpenVPN服务是一个经济高效且可靠的解决方案,本文将详细介绍如何在CentOS 7或8系统上,通过单网卡配置实现OpenVPN服务,确保远程用户能安全、稳定地连接到内网资源。
第一步:准备工作
确保你有一台运行CentOS 7或8的物理机或虚拟机,具备公网IP地址(静态IP推荐),并已登录为root用户,执行以下命令更新系统:
yum update -y
第二步:安装OpenVPN及相关工具
使用EPEL源安装OpenVPN和Easy-RSA(用于证书管理):
yum install epel-release -y yum install openvpn easy-rsa -y
第三步:配置证书颁发机构(CA)
复制Easy-RSA模板到指定目录,并初始化PKI:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,设置国家、省份、组织等信息(可按需修改):
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@mycompany.com" export KEY_CN="server" export KEY_NAME="server" export KEY_OU="OpenVPN"
生成CA密钥和证书:
./clean-all ./build-ca
第四步:生成服务器证书和密钥
执行以下命令生成服务器证书和密钥:
./build-key-server server
第五步:生成Diffie-Hellman参数
此步骤用于增强加密强度:
./build-dh
第六步:配置OpenVPN服务端
创建主配置文件 /etc/openvpn/server.conf如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3第七步:启用IP转发和防火墙规则
编辑/etc/sysctl.conf,取消注释以下行以启用IP转发:
net.ipv4.ip_forward = 1应用配置:
sysctl -p
配置iptables(若使用firewalld则用相应命令):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
保存规则:
service iptables save
第八步:启动OpenVPN服务
systemctl enable openvpn@server systemctl start openvpn@server
第九步:客户端配置与证书分发
在Easy-RSA目录下为每个客户端生成证书和密钥:
./build-key client1
客户端配置文件(client.ovpn)示例:
client
dev tun
proto udp
remote your_server_ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
verb 3将所有客户端证书和配置文件打包分发即可。
通过上述步骤,即使只有单网卡的CentOS服务器也能成功搭建一个功能完整的OpenVPN服务,满足远程办公、内网穿透等常见需求,该方案成本低、部署灵活、安全性高,是中小企业和个人用户的理想选择,建议定期更新证书和补丁,保持服务器安全。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
