在现代企业网络环境中,远程访问内网资源已成为常态,无论是远程办公、跨地域协作,还是运维人员的异地管理,都需要一个安全、稳定的虚拟专用网络(VPN)解决方案,作为Linux发行版中的经典代表,CentOS因其稳定性与广泛社区支持,成为许多IT工程师部署OpenVPN服务的首选平台,本文将详细介绍如何在CentOS 7或8系统上从零开始搭建OpenVPN服务,确保用户能够实现安全、可靠的远程访问。
第一步:准备工作
确保你的CentOS服务器已安装并更新至最新版本,通过SSH登录服务器后,执行以下命令更新系统:
sudo yum update -y
启用EPEL仓库(Extra Packages for Enterprise Linux),因为OpenVPN及相关工具包可能不在默认源中:
sudo yum install epel-release -y
第二步:安装OpenVPN和Easy-RSA
使用YUM安装OpenVPN和用于证书管理的Easy-RSA工具:
sudo yum install openvpn easy-rsa -y
安装完成后,复制Easy-RSA模板到/etc/openvpn目录下:
make-cadir /etc/openvpn/easy-rsa
这一步会生成一个包含证书签发脚本的目录结构,是后续PKI(公钥基础设施)配置的核心。
第三步:配置CA证书和服务器证书
进入Easy-RSA目录并编辑vars文件,设置国家、组织等信息:
cd /etc/openvpn/easy-rsa vi vars
修改如下变量(示例):
set_var EASYRSA_COUNTRY "CN"
set_var EASYRSA_PROVINCE "Beijing"
set_var EASYRSA_CITY "Beijing"
set_var EASYRSA_ORG "MyCompany"
set_var EASYRSA_EMAIL "admin@mycompany.com"
set_var EASYRSA_CN "MyOpenVPN-CA"然后执行初始化和签发CA证书:
./easyrsa init-pki ./easyrsa build-ca
接下来为服务器签发证书:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
最后生成Diffie-Hellman参数和TLS密钥:
./easyrsa gen-dh openvpn --genkey --secret ta.key
第四步:配置OpenVPN服务端
创建OpenVPN配置文件 /etc/openvpn/server.conf示例如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth /etc/openvpn/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3第五步:启动并测试
启用OpenVPN服务并设置开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
若需防火墙放行UDP 1194端口,请运行:
sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --reload
客户端可通过OpenVPN GUI或命令行连接服务器,只需提供用户证书和密码即可建立加密隧道。
通过以上步骤,你已在CentOS上成功部署了功能完整的OpenVPN服务,此方案不仅满足基本远程访问需求,还可扩展为多用户、多组策略的复杂场景,作为网络工程师,掌握此类基础技能对保障企业网络安全至关重要,建议定期更新证书、监控日志,并结合Fail2ban等工具增强防护能力。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
