随着企业对远程办公和跨地域网络访问需求的不断增长,虚拟专用网络(VPN)已成为保障数据传输安全的关键技术,在众多开源VPN解决方案中,OpenVPN因其强大的加密能力、灵活性以及跨平台支持,成为Linux服务器端部署的首选,本文将详细介绍如何在CentOS操作系统(以CentOS 7或8为例)上部署并配置OpenVPN服务,为用户提供一个稳定、安全的远程接入环境。
确保你的CentOS服务器已安装最新补丁,并具备公网IP地址,登录到服务器后,使用root权限执行以下步骤:
第一步:安装必要软件包
OpenVPN依赖于EPEL源中的额外组件,因此先启用EPEL仓库:
yum install -y epel-release
接着安装OpenVPN及相关工具:
yum install -y openvpn easy-rsa
第二步:生成证书和密钥(PKI体系)
OpenVPN基于SSL/TLS协议进行身份认证,需通过Easy-RSA脚本创建CA证书、服务器证书和客户端证书,进入Easy-RSA目录:
cd /usr/share/easy-rsa/ cp -r /usr/share/easy-rsa/ /etc/openvpn/ cd /etc/openvpn/easy-rsa/
编辑vars文件,修改国家、省份、组织等信息,确保与实际一致,然后执行初始化和证书生成流程:
./easyrsa init-pki ./easyrsa build-ca ./easyrsa gen-req server nopass ./easyrsa sign-req server server ./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
这些命令会生成服务器和客户端所需的证书与密钥文件,保存在pki/子目录下。
第三步:配置OpenVPN服务器
创建主配置文件 /etc/openvpn/server.conf如下(可根据实际网络调整):
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3该配置启用了UDP协议、TUN模式、TLS加密、自动分配IP地址(10.8.0.0/24网段),并推送DNS和路由规则给客户端。
第四步:启动服务并设置开机自启
systemctl enable openvpn@server systemctl start openvpn@server
第五步:防火墙配置
若启用firewalld,需开放UDP端口1194:
firewall-cmd --permanent --add-port=1194/udp firewall-cmd --reload
客户端可通过OpenVPN GUI工具导入client1.crt、client1.key及ca.crt文件连接服务器,建议为每个用户单独生成证书,实现细粒度权限控制。
在CentOS上搭建OpenVPN不仅成本低、安全性高,还便于维护和扩展,掌握这一技能,网络工程师可为企业提供灵活可靠的远程访问方案,尤其适用于需要隔离内网资源的场景,后续还可结合Fail2Ban、日志审计等增强防护能力,打造更健壮的网络安全架构。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
