在当今远程办公和分布式团队日益普及的背景下,企业与个人用户对安全、稳定的远程访问需求不断增长,虚拟私人网络(VPN)作为实现加密通信、绕过地理限制和保护数据隐私的重要工具,成为网络基础设施中不可或缺的一环,本文将详细介绍如何在 CentOS 操作系统(特别是 CentOS Stream 或 CentOS 7/8)上搭建一个功能完善、安全性高的 OpenVPN 服务器,帮助你构建属于自己的私有网络隧道。
准备工作必不可少,你需要一台运行 CentOS 的物理或云服务器(推荐使用 CentOS Stream 9 或 CentOS 7,因为它们长期支持且社区活跃),并确保具备公网 IP 地址,登录服务器后,执行以下命令更新系统软件包:
sudo yum update -y
接着安装必要的依赖项,包括 EPEL 源(用于获取更多软件包)和 OpenVPN 本身:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
接下来是证书颁发机构(CA)的配置,OpenVPN 使用 PKI(公钥基础设施)进行身份认证,因此我们需要生成 CA 密钥和证书,复制 Easy-RSA 示例配置文件到本地目录,并编辑以适应你的环境:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa vi vars # 修改默认变量,如国家、组织名等
然后执行初始化脚本并生成 CA 根证书:
./easyrsa init-pki ./easyrsa build-ca nopass # 不设置密码,便于自动化部署
下一步是为服务器生成证书请求并签名:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
之后,生成 Diffie-Hellman 参数和 TLS 密钥交换密钥,增强安全性:
./easyrsa gen-dh openvpn --genkey --secret ta.key
创建 OpenVPN 主配置文件 /etc/openvpn/server.conf,示例配置如下:
port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/pki/ca.crt cert /etc/openvpn/easy-rsa/pki/issued/server.crt key /etc/openvpn/easy-rsa/pki/private/server.key dh /etc/openvpn/easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn-status.log verb 3 tls-auth /etc/openvpn/ta.key 0
启用 IP 转发功能,允许客户端通过服务器访问互联网:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
配置防火墙规则(如果使用 firewalld):
firewall-cmd --add-port=1194/udp --permanent firewall-cmd --add-masquerade --permanent firewall-cmd --reload
最后启动服务并设置开机自启:
systemctl enable openvpn@server systemctl start openvpn@server
至此,你的 CentOS OpenVPN 服务器已成功搭建,客户端可通过 .ovpn 配置文件连接,该文件需包含 CA 证书、客户端证书、密钥及服务器地址等信息,建议为每个用户单独生成证书,提升权限控制能力。
在 CentOS 上搭建 OpenVPN 是一项技术含量高但极具实用价值的任务,它不仅保障了远程访问的安全性,还为企业提供了一个灵活可控的网络扩展方案,熟练掌握这一技能,是你作为网络工程师迈向专业化的关键一步。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
