在现代企业网络环境中,远程访问内网资源、保障数据传输安全已成为刚需,CentOS作为一款稳定、安全且广泛使用的Linux发行版,常被用于服务器部署和网络服务管理,本文将详细介绍如何在CentOS系统中安装、配置并使用常见的VPN连接工具(如OpenVPN或StrongSwan),帮助网络工程师快速搭建一个可靠、安全的远程接入通道。
准备工作
在开始前,请确保你已拥有以下条件:
- 一台运行CentOS 7或8(建议使用CentOS Stream)的服务器或虚拟机;
- 公网IP地址(用于外网访问);
- 域名解析(可选,但推荐用于证书管理);
- 熟悉基础命令行操作(如vim、systemctl、firewall-cmd等)。
选择合适的VPN方案
常见开源解决方案包括:
- OpenVPN:成熟稳定,支持多种认证方式(用户名密码、证书等),适合中小型环境。
- StrongSwan:基于IPsec协议,性能高,适合企业级场景,尤其适用于站点到站点(Site-to-Site)连接。
本文以OpenVPN为例进行详细演示。
安装与配置OpenVPN
-
更新系统并安装依赖:
sudo yum update -y sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
-
配置证书颁发机构(CA):
复制Easy-RSA模板到/etc/openvpn目录,并初始化:make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa vi vars # 修改默认变量(如国家、组织名称等) ./clean-all ./build-ca
-
生成服务器证书与密钥:
./build-key-server server ./build-key client1 ./build-dh
-
配置OpenVPN服务器:
编辑/etc/openvpn/server.conf,关键参数如下:port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/pki/ca.crt cert /etc/openvpn/easy-rsa/pki/issued/server.crt key /etc/openvpn/easy-rsa/pki/private/server.key dh /etc/openvpn/easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn-status.log verb 3 -
启动服务并设置开机自启:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --reload
客户端配置
将 ca.crt、client1.crt、client1.key 下载到本地设备(Windows、macOS、Android等),使用OpenVPN客户端导入即可连接。
注意:若客户端位于NAT后,需配置端口映射(如路由器上转发UDP 1194端口至服务器IP)。
常见问题排查
- 若无法连接,检查防火墙是否放行UDP 1194端口;
- 查看日志
/var/log/openvpn-status.log定位错误; - 确保客户端证书与服务器CA一致,时间同步正常(NTP服务建议开启)。
通过上述步骤,你可以在CentOS环境中成功部署一套功能完整的OpenVPN服务,实现安全、稳定的远程访问,对于更复杂的网络拓扑(如多分支、负载均衡),可进一步结合TUN/TAP模式、路由策略或使用Ansible自动化部署,作为网络工程师,掌握此类技能是构建私有云与混合架构的基础能力之一。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
