在 CentOS 7.2 系统中搭建 OpenVPN 服务，从零开始的完整配置指南

随着远程办公和跨地域协作需求的增加,构建一个安全、稳定的虚拟私有网络（VPN）成为企业与个人用户的重要技术手段，CentOS 7.2 作为一款稳定且广泛使用的 Linux 发行版，非常适合用来搭建 OpenVPN 服务，本文将详细介绍如何在 CentOS 7.2 上部署并配置 OpenVPN，实现客户端安全接入内网资源。

确保你已准备一台运行 CentOS 7.2 的服务器（建议使用最小化安装版本），并拥有 root 权限，我们以 OpenVPN 作为核心工具，结合 Easy-RSA 工具包来管理证书和密钥，从而建立基于 TLS/SSL 的加密连接。

第一步：系统环境准备
更新系统软件包：

sudo yum update -y

安装 EPEL 源（OpenVPN 官方仓库可能不包含最新版本，EPEL 提供更多兼容包）：

sudo yum install epel-release -y

接着安装 OpenVPN 和 Easy-RSA：

sudo yum install openvpn easy-rsa -y

第二步：生成证书和密钥
OpenVPN 使用 PKI（公钥基础设施）进行身份认证，因此需要先配置证书颁发机构（CA）。
复制 Easy-RSA 配置文件到 /etc/openvpn 目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑 vars 文件，设置你的组织信息（如国家、省份、公司名等）：

nano vars

修改以下字段：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"

初始化 CA 并生成证书：

./clean-all
./build-ca

按提示输入 CA 名称（默认即可）。

接下来生成服务器证书和密钥：

./build-key-server server

同样按提示操作,确认是否签发证书。

为客户端生成证书（可重复执行多个客户端）：

./build-key client1

最后生成 Diffie-Hellman 参数（用于密钥交换）：

./build-dh

第三步：配置 OpenVPN 服务
将生成的证书文件复制到 OpenVPN 配置目录：

cp ca.crt ca.key dh2048.pem server.crt server.key /etc/openvpn/

创建主配置文件 /etc/openvpn/server.conf：

nano /etc/openvpn/server.conf

添加如下基础配置（可根据实际网络调整）：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

第四步：启用 IP 转发与防火墙规则
启用内核 IP 转发功能：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

配置防火墙（若使用 firewalld）：

firewall-cmd --permanent --add-port=1194/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

第五步：启动 OpenVPN 服务

systemctl enable openvpn@server
systemctl start openvpn@server

服务器端已完成配置,客户端可通过 .ovpn 文件连接（需拷贝 ca.crt、client1.crt、client1.key 到客户端，并配置连接参数）。
客户端配置文件示例：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

通过以上步骤，你在 CentOS 7.2 上成功搭建了基于 OpenVPN 的安全远程访问服务，该方案具备高安全性、易扩展性和良好兼容性，适合中小型企业或个人用户部署，后续可根据需求添加双因素认证、日志审计、负载均衡等功能，进一步提升系统健壮性，记住定期更新证书、监控日志并做好备份，是保障网络安全的关键。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN