在现代企业网络环境中,远程访问内网资源已成为常态,无论是远程办公、跨地域协作还是系统运维,安全可靠的虚拟私人网络(VPN)服务是保障数据传输机密性与完整性的关键工具,本文将详细介绍如何在 CentOS 7.5 操作系统上部署 OpenVPN,搭建一个稳定、可扩展且符合安全规范的站点到站点或点对点的加密连接。
确保你拥有一个运行 CentOS 7.5 的服务器(推荐使用最小化安装),并具备 root 权限或 sudo 权限,建议提前更新系统软件包:
sudo yum update -y
我们通过 EPEL 源安装 OpenVPN 和 Easy-RSA(用于证书管理):
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
Easy-RSA 是 OpenVPN 的证书颁发机构(CA)工具,用于生成服务器和客户端所需的数字证书与密钥,我们将它复制到默认路径并初始化 CA 环境:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑 vars 文件,设置你的组织信息(如国家、省份、公司名等),
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@mycompany.com"
执行以下命令初始化 PKI(公钥基础设施)环境:
./clean-all ./build-ca
接着生成服务器证书和密钥:
./build-key-server server
为每个客户端生成独立的证书(如客户端名为 client1):
./build-key client1
生成 Diffie-Hellman 密钥交换参数(此步骤耗时较长):
./build-dh
完成后,将必要的文件复制到 OpenVPN 配置目录:
cp keys/ca.crt keys/server.crt keys/server.key keys/dh2048.pem /etc/openvpn/
创建主配置文件 /etc/openvpn/server.conf如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3启动 OpenVPN 服务并设置开机自启:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
开启 IP 转发以支持客户端访问内网资源:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
若需配置防火墙(firewalld),开放 UDP 1194 端口:
sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --reload
至此,OpenVPN 服务已成功部署,客户端可通过导出的 ca.crt、client1.crt、client1.key 文件(通常打包成 .ovpn 文件)连接服务器,实现安全远程访问。
本方案适用于中小型企业及个人用户,具备良好的安全性与易用性,后续可根据需求扩展至多用户认证、双因素验证或集成 LDAP 等高级功能,进一步提升网络访问控制能力。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
