在现代企业网络环境中,远程访问内网资源已成为日常运维和开发工作的基本需求,对于使用CentOS操作系统的服务器或小型办公室环境,若仅配备一块网卡(即单一网络接口),仍可通过搭建OpenVPN服务实现安全、加密的远程访问,本文将详细介绍如何在CentOS系统上,基于单网卡环境部署OpenVPN服务,确保远程用户能够通过SSL/TLS加密隧道安全连接到内网资源。

准备工作至关重要,确保你的CentOS系统已安装并更新至最新版本(建议使用CentOS 7或8),登录系统后,执行以下命令更新系统软件包:

sudo yum update -y

安装OpenVPN及相关依赖组件,推荐使用EPEL源以获取更多可用包:

sudo yum install epel-release -y
sudo yum install openvpn easy-rsa -y

Easy-RSA是用于生成证书和密钥的工具,是OpenVPN认证体系的核心,配置证书颁发机构(CA)时,进入Easy-RSA目录并初始化PKI环境:

cd /usr/share/easy-rsa/
sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa/
sudo sed -i 's/#set_var EASYRSA_ALGO rsa/set_var EASYRSA_ALGO rsa/' vars
sudo sed -i 's/#set_var EASYRSA_KEY_SIZE 2048/set_var EASYRSA_KEY_SIZE 2048/' vars

然后生成CA证书和私钥:

sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

注意:nopass表示不设置密码,便于自动启动服务,但生产环境中建议启用密码保护。

接下来生成服务器证书和密钥:

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

最后生成Diffie-Hellman参数和TLS密钥:

sudo ./easyrsa gen-dh
sudo openvpn --genkey --secret ta.key

完成证书生成后,创建OpenVPN服务器配置文件 /etc/openvpn/server.conf示例如下:

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
tls-auth /etc/openvpn/ta.key 0
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
cipher AES-256-CBC
auth SHA256
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

配置完成后,启用IP转发并配置防火墙规则,编辑 /etc/sysctl.conf 文件,取消注释:

net.ipv4.ip_forward = 1

执行 sysctl -p 生效。

配置iptables:

sudo iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo service iptables save

启动OpenVPN服务并设置开机自启:

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

至此,你已在CentOS单网卡环境下成功部署了OpenVPN服务,客户端只需导入证书及配置文件,即可通过UDP端口1194建立安全隧道,此方案不仅成本低廉,而且灵活性高,非常适合中小型企业或家庭办公场景,建议定期更新证书、监控日志,并结合fail2ban等工具增强安全性。

CentOS单网卡配置OpenVPN实现安全远程访问详解 第1张

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN