随着远程办公和跨地域协作的普及,企业对网络安全和数据传输效率的要求日益提高,阿里云作为国内领先的云计算平台,为用户提供了稳定、灵活的虚拟机环境,而CentOS作为一款广泛应用于服务器领域的Linux发行版,因其稳定性与强大的社区支持,成为许多网络工程师首选的操作系统,本文将详细介绍如何在阿里云Centos服务器上部署一个基于OpenVPN的安全VPN服务,帮助用户实现远程安全访问内网资源。
准备工作必不可少,你需要拥有一台运行CentOS(建议使用7或8版本)的阿里云ECS实例,并确保该实例已绑定公网IP地址,登录阿里云控制台,配置安全组规则,开放UDP 1194端口(OpenVPN默认端口),同时允许SSH连接用于管理,如果尚未安装SSH密钥,请先生成并上传公钥到阿里云实例中,以提升安全性。
接下来是OpenVPN服务的安装与配置,通过SSH连接到CentOS服务器后,执行以下命令安装OpenVPN及相关工具:
sudo yum update -y sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
安装完成后,需生成证书和密钥,进入EasyRSA目录并初始化PKI:
cd /usr/share/easy-rsa/ sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/ sudo mkdir -p /etc/openvpn/easy-rsa/keys sudo ./easyrsa init-pki sudo ./easyrsa build-ca sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
生成客户端证书时,可按需创建多个用户证书,
sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
然后配置OpenVPN主服务文件 /etc/openvpn/server.conf,关键配置如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3保存配置后,启动OpenVPN服务并设置开机自启:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
启用IP转发功能以实现内网穿透,编辑 /etc/sysctl.conf,添加:
net.ipv4.ip_forward = 1然后执行 sysctl -p 生效配置,并添加iptables规则:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE sudo service iptables save
至此,OpenVPN服务已在阿里云CentOS服务器上成功部署,用户可通过导出的客户端配置文件(包含CA证书、客户端证书、私钥等)在本地设备上连接,实现加密隧道访问内网资源。
此方案不仅满足企业级安全需求,还具备良好的扩展性,适合中小型企业或个人开发者构建私有网络,通过合理配置和定期维护,可保障长期稳定运行。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
