更新系统包-免费VPN-VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN

CentOS 7搭建OpenVPN服务完整教程：从零开始配置企业级安全远程访问

在当前远程办公和跨地域协作日益普及的背景下，构建一个稳定、安全且易于管理的虚拟私人网络（VPN）已成为中小型企业及个人用户的刚需，本文将详细介绍如何在 CentOS 7 系统上使用 OpenVPN 搭建一套完整的点对点加密通信环境，适用于员工远程接入公司内网、家庭成员访问本地 NAS 或者开发者调试私有服务器等场景。

确保你拥有一个公网IP的 CentOS 7 服务器（推荐使用阿里云、腾讯云或 AWS EC2 实例），登录服务器后,执行以下初始化命令：

# 安装EPEL源（用于获取openvpn软件包）
sudo yum install epel-release -y
# 安装OpenVPN及相关工具
sudo yum install openvpn easy-rsa -y

接下来是证书签发环节——这是OpenVPN身份认证的核心，我们使用Easy-RSA工具生成CA根证书、服务器证书和客户端证书：

# 复制Easy-RSA模板到/etc/openvpn目录
sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
# 编辑vars文件设置国家、组织等信息（建议根据实际填写）
sudo vi vars
# 初始化PKI密钥库
sudo ./clean-all
sudo ./build-ca
# 创建服务器证书
sudo ./build-key-server server
# 创建客户端证书（可为多个用户生成）
sudo ./build-key client1
# 生成Diffie-Hellman参数（耗时较长，请耐心等待）
sudo ./build-dh

完成证书生成后,复制相关文件至OpenVPN配置目录：

sudo cp /etc/openvpn/easy-rsa/keys/ca.crt /etc/openvpn/
sudo cp /etc/openvpn/easy-rsa/keys/server.crt /etc/openvpn/
sudo cp /etc/openvpn/easy-rsa/keys/server.key /etc/openvpn/
sudo cp /etc/openvpn/easy-rsa/keys/dh2048.pem /etc/openvpn/

现在创建主配置文件 /etc/openvpn/server.conf如下（可根据需求调整端口、协议等）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

启动并启用OpenVPN服务：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

开启IP转发以实现NAT穿透（让客户端能访问外网）：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p
# 配置iptables规则（假设eth0为外网接口）
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT

保存iptables规则（若未安装iptables-persistent，则需手动保存）：