在现代企业网络和远程办公环境中,虚拟私人网络(VPN)已成为保障数据安全传输的重要手段,CentOS作为一款稳定、开源且广泛应用于服务器环境的操作系统,是部署OpenVPN服务的理想选择,本文将详细介绍如何在CentOS 7或CentOS 8/9上安装、配置并启动OpenVPN服务,最终实现安全的远程访问。
确保你已登录到一台运行CentOS的服务器,并具备root权限或sudo权限,我们以CentOS 8为例进行演示(CentOS 7操作类似),第一步是更新系统包:
sudo dnf update -y
安装EPEL仓库(用于获取OpenVPN及相关工具):
sudo dnf install epel-release -y
安装OpenVPN软件包:
sudo dnf install openvpn easy-rsa -y
easy-rsa 是一个用于生成证书和密钥的工具,对建立TLS加密通道至关重要。
我们需要生成证书颁发机构(CA)、服务器证书和客户端证书,进入EasyRSA目录:
cd /usr/share/easy-rsa/ sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/ cd /etc/openvpn/ sudo mkdir keys sudo make-cadir keys cd keys
编辑 vars 文件来设置证书参数(如国家、组织名称等),可以使用以下命令:
nano vars
示例):
set_var EASYRSA_COUNTRY "CN"
set_var EASYRSA_PROVINCE "Beijing"
set_var EASYRSA_CITY "Beijing"
set_var EASYRSA_ORG "MyCompany"
set_var EASYRSA_EMAIL "admin@mycompany.com"
set_var EASYRSA_CN "MyOpenVPNServer"保存退出后,执行初始化CA:
sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass
创建服务器证书和密钥:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
生成Diffie-Hellman参数(用于增强安全性):
sudo ./easyrsa gen-dh
生成TLS认证密钥(用于防止中间人攻击):
sudo openvpn --genkey --secret ta.key
完成证书生成后,复制相关文件到OpenVPN配置目录:
sudo cp keys/ca.crt keys/server.crt keys/server.key keys/dh.pem keys/ta.key /etc/openvpn/
创建主配置文件 /etc/openvpn/server.conf如下(可根据实际需求调整):
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3启用IP转发功能(允许流量转发):
sudo sysctl net.ipv4.ip_forward=1 echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
配置防火墙规则(如果使用firewalld):
sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --add-masquerade --permanent sudo firewall-cmd --reload
启动并设置开机自启OpenVPN服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
OpenVPN服务已在端口1194监听,你可以为客户端生成证书(使用相同流程,但用client作为Common Name),并将配置文件和证书打包分发给用户,客户端只需安装OpenVPN客户端软件(Windows/macOS/Linux均可),导入配置文件即可连接。
通过以上步骤,你已在CentOS上成功搭建了一个安全、稳定的OpenVPN服务,为远程办公或跨地域访问提供了可靠保障,建议定期更新证书并监控日志,确保网络安全持续有效。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
