随着远程办公和跨地域协作的普及,企业与个人用户对安全、稳定的网络连接需求日益增长,虚拟私人网络(VPN)作为实现加密通信的核心技术,成为构建私有网络的重要手段,本文将详细介绍如何在 CentOS 操作系统上搭建一个功能完备、安全性高的 OpenVPN 服务,适用于中小型团队或个人用户部署私有网络。
确保你有一台运行 CentOS 7 或 CentOS 8 的服务器(推荐使用 CentOS Stream 或 AlmaLinux 以获得更好的长期支持),该服务器应具备公网 IP 地址,并开放 UDP 端口(默认为 1194),用于 OpenVPN 协议通信,若使用云服务商(如阿里云、腾讯云、AWS),需在安全组中放行对应端口。
第一步:安装 OpenVPN 和 Easy-RSA
通过 yum 安装 OpenVPN 及其证书管理工具 Easy-RSA:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
第二步:配置证书颁发机构(CA)
Easy-RSA 提供了生成数字证书的简便流程,进入 /etc/openvpn/easy-rsa/ 目录并初始化:
cd /etc/openvpn/easy-rsa/ make-cadir /etc/openvpn/easy-rsa/openssl-1.0.2.cnf cd /etc/openvpn/easy-rsa/ cp openssl-1.0.2.cnf /etc/openvpn/easy-rsa/openssl.cnf
编辑 vars 文件,设置 CA 的相关信息(如国家、组织名称等),然后执行以下命令生成 CA 私钥和证书:
./clean-all ./build-ca
第三步:生成服务器证书和密钥
继续执行:
./build-key-server server
此步骤会生成服务器证书和密钥,用于认证客户端连接。
第四步:生成客户端证书
为每个客户端单独生成证书(例如用户名为 client1):
./build-key client1
第五步:生成 Diffie-Hellman 参数和 TLS 密钥交换文件(增强安全性):
./build-dh openvpn --genkey --secret ta.key
第六步:配置 OpenVPN 服务端
复制模板配置文件到 /etc/openvpn/ 并修改为适合你的环境:
cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/ vim /etc/openvpn/server.conf
关键配置项包括:
port 1194(UDP 端口)proto udpdev tunca ca.crtcert server.crtkey server.keydh dh.pemtls-auth ta.key 0server 10.8.0.0 255.255.255.0(分配给客户端的 IP 段)push "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 8.8.8.8"
第七步:启用 IP 转发与防火墙规则
编辑 /etc/sysctl.conf,添加:
net.ipv4.ip_forward = 1
应用更改:sysctl -p。
配置 iptables 规则以允许流量转发(或使用 firewalld):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -p udp --dport 1194 -j ACCEPT
启动 OpenVPN 服务并设为开机自启:
systemctl enable openvpn@server systemctl start openvpn@server
至此,OpenVPN 服务已在 CentOS 上成功搭建,客户端可通过 .ovpn 配置文件连接,所有数据均加密传输,实现远程安全访问内网资源,此方案兼顾安全性与可扩展性,是企业级网络部署的理想选择。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
