在现代企业网络环境中,远程办公和跨地域访问已成为常态,为了保障数据传输的安全性与稳定性,虚拟专用网络(VPN)成为不可或缺的技术手段,CentOS作为一款稳定、开源的Linux发行版,非常适合用于部署各类网络服务,包括OpenVPN——一个开源且功能强大的SSL/TLS协议实现的VPN解决方案,本文将详细介绍如何在CentOS 7或8系统上从零开始搭建OpenVPN服务器,确保用户能够安全、高效地访问内网资源。
准备工作是关键,你需要一台运行CentOS的物理机或虚拟机,具备公网IP地址(或通过NAT映射),并拥有root权限,建议使用最小化安装版本以减少潜在风险,更新系统软件包:
sudo yum update -y
安装EPEL源(Extra Packages for Enterprise Linux),它包含许多额外工具:
sudo yum install epel-release -y
安装OpenVPN及相关依赖项:
sudo yum install openvpn easy-rsa -y
easy-rsa 是用于生成证书和密钥的工具,是OpenVPN认证体系的核心组件。
配置阶段分为两个部分:证书签发和OpenVPN主配置文件设置。
-
证书管理:
进入EasyRSA目录,初始化PKI(公钥基础设施)环境:cd /usr/share/easy-rsa/ sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsa/ cd /etc/openvpn/easy-rsa/ sudo nano vars
编辑
vars文件,根据需要修改国家、组织等信息,set_var EASYRSA_COUNTRY "CN" set_var EASYRSA_PROVINCE "Beijing" set_var EASYRSA_ORG "MyCompany"执行以下命令生成CA证书和私钥:
sudo ./easyrsa init-pki sudo ./easyrsa build-ca
-
生成服务器证书和密钥:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
-
生成客户端证书(可选,但推荐为每个用户单独颁发):
sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
-
生成Diffie-Hellman参数和HMAC签名密钥:
sudo ./easyrsa gen-dh sudo openvpn --genkey --secret ta.key
完成证书生成后,复制必要文件到OpenVPN配置目录:
sudo cp /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/easy-rsa/pki/issued/server.crt /etc/openvpn/easy-rsa/pki/private/server.key /etc/openvpn/ sudo cp ta.key /etc/openvpn/
现在编写主配置文件 /etc/openvpn/server.conf,这是一个关键步骤,示例内容如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3启用IP转发和防火墙规则:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p sudo firewall-cmd --permanent --add-port=1194/udp sudo firewall-cmd --permanent --add-masquerade sudo firewall-cmd --reload
启动OpenVPN服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
至此,OpenVPN服务已在CentOS上成功部署,客户端可通过导入证书和配置文件连接服务器,实现加密隧道访问内网资源,整个过程涉及证书管理、网络配置、安全策略等多方面知识,适合有Linux基础的网络工程师深入实践,通过合理规划与加固,OpenVPN能为企业提供可靠、灵活的远程接入方案。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
