在企业网络部署和远程办公场景中,虚拟私人网络(VPN)已成为保障数据传输安全与隐私的重要手段,CentOS作为一款稳定、开源的Linux发行版,广泛应用于服务器环境中,本文将详细介绍如何在CentOS 7/8系统上配置OpenVPN服务,涵盖服务端安装、证书生成、防火墙设置、客户端连接等关键步骤,帮助网络工程师快速构建一个可信赖的远程访问解决方案。
确保你的CentOS服务器已更新至最新状态,通过以下命令升级系统:
sudo yum update -y
安装OpenVPN及相关依赖包,推荐使用EPEL源以获取更完整的软件包支持:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
安装完成后,需要生成数字证书和密钥,OpenVPN使用PKI(公钥基础设施)进行身份认证,其核心组件由Easy-RSA工具管理,执行以下命令初始化证书颁发机构(CA):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,根据实际需求修改国家、组织名称等字段,然后运行:
source vars ./clean-all ./build-ca
这将创建根证书(ca.crt),用于后续所有证书的签名。
接着生成服务器证书和密钥:
./build-key-server server
注意:在提示输入Common Name时,必须填写“server”,否则OpenVPN无法识别该证书为服务器证书。
生成客户端证书时,每个用户应单独创建一个证书,为用户“alice”生成:
./build-key alice
生成Diffie-Hellman参数以增强加密强度:
./build-dh
完成证书签发后,复制相关文件至OpenVPN配置目录:
cp ca.crt ca.key dh2048.pem server.crt server.key /etc/openvpn/
现在创建主配置文件 /etc/openvpn/server.conf,以下是一个基础但功能完整的配置示例:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3配置完成后,启动OpenVPN服务并设置开机自启:
systemctl start openvpn@server systemctl enable openvpn@server
配置防火墙规则(若启用firewalld):
firewall-cmd --add-port=1194/udp --permanent firewall-cmd --add-masquerade --permanent firewall-cmd --reload
至此,OpenVPN服务端已成功部署,客户端可通过OpenVPN GUI或命令行工具连接,只需提供对应的.ovpn配置文件(包含客户端证书、CA证书及服务器地址),建议为不同用户分配独立证书,便于权限控制与审计追踪。
通过以上步骤,网络工程师可在CentOS平台上快速搭建出高可用、安全可靠的OpenVPN服务,满足远程办公、站点间互联等多种业务需求。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
