在当前远程办公和跨地域协作日益普及的背景下,构建一个安全、可靠的虚拟私人网络(VPN)服务变得尤为重要,对于拥有CentOS VPS(虚拟专用服务器)的用户而言,使用OpenVPN是一个成熟且广泛验证的选择,本文将详细介绍如何在CentOS系统上部署并配置OpenVPN服务器,实现多设备安全接入内网资源,同时兼顾性能与安全性。
确保你已准备好一台运行CentOS 7或更高版本的VPS实例,并具备root权限,建议选择至少1核CPU、2GB内存的配置,以保证多用户并发连接时的稳定性,登录服务器后,更新系统包管理器:
yum update -y
接下来安装EPEL源(Extra Packages for Enterprise Linux),它是获取OpenVPN及相关工具的重要渠道:
yum install epel-release -y
然后安装OpenVPN及其依赖组件:
yum install openvpn easy-rsa -y
Easy-RSA是用于生成证书和密钥的工具,是OpenVPN认证体系的核心,配置完成后,复制示例配置文件到/etc/openvpn目录下:
cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/
编辑server.conf文件,关键修改包括:
- 设置
port 1194(默认端口,可根据需求调整) - 启用
proto udp(UDP比TCP延迟更低,适合远程桌面等场景) - 指定
dev tun(创建TUN虚拟网卡) - 配置
ca,cert,key,dh路径指向Easy-RSA生成的证书文件 - 设置
server 10.8.0.0 255.255.255.0(分配给客户端的IP段)
通过Easy-RSA初始化PKI(公钥基础设施):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
执行以下命令生成CA证书、服务器证书及Diffie-Hellman参数:
./easyrsa init-pki ./easyrsa build-ca nopass ./easyrsa gen-req server nopass ./easyrsa sign-req server server ./easyrsa gen-dh
生成完成后,将相关文件复制到OpenVPN目录中,如ca.crt, server.crt, server.key, dh.pem。
配置防火墙允许UDP 1194端口通行:
firewall-cmd --add-port=1194/udp --permanent firewall-cmd --reload
启用IP转发功能(使客户端可访问外网):
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
最后启动OpenVPN服务并设置开机自启:
systemctl enable openvpn@server systemctl start openvpn@server
至此,OpenVPN服务器已成功部署,客户端可通过OpenVPN GUI(Windows)或Tunnelblick(macOS)导入配置文件(包含client.ovpn模板和证书),连接至你的VPS即可实现加密隧道访问局域网资源。
此方案不仅适用于个人远程办公,也可扩展为团队内部安全通信平台,建议定期更新证书、监控日志、限制客户端数量,并结合Fail2Ban防止暴力破解,进一步提升安全性。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
