在企业网络或远程办公场景中,安全、稳定的远程访问是刚需,如果你正在使用CentOS系统且仅有一块网卡(即内网与外网共用同一接口),仍然可以通过合理配置实现安全的IPSec或SSL/TLS类型的VPN服务,本文将以OpenVPN为例,详细讲解如何在单网卡CentOS服务器上搭建一个稳定、可扩展的VPN服务,适用于家庭办公、小型企业或远程运维等典型需求。
确保你已准备好一台运行CentOS 7或8的服务器,并拥有公网IP地址(若无公网IP,可考虑使用DDNS动态域名解析),单网卡环境下,我们需要通过iptables/NAT转发实现内网流量的路由和端口映射。
第一步:安装OpenVPN及相关工具
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
第二步:配置Easy-RSA证书管理
复制Easy-RSA模板到默认路径:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,设置国家、组织名等信息(如CN=China, O=MyCompany),然后执行:
./clean-all ./build-ca ./build-key-server server ./build-key client1 ./build-dh
生成的证书文件将用于后续服务端和客户端认证。
第三步:配置OpenVPN服务端
创建 /etc/openvpn/server.conf,关键配置如下:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3注意:push "redirect-gateway" 会强制客户端所有流量走VPN隧道,适合需要隐私保护的场景。
第四步:启用IP转发和NAT规则
修改 /etc/sysctl.conf:
net.ipv4.ip_forward = 1生效后执行:
sudo sysctl -p
配置iptables规则:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT sudo iptables -A FORWARD -s 10.8.0.0/24 -d 10.8.0.0/24 -j ACCEPT sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT sudo iptables -A INPUT -p udp --dport 1194 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
第五步:启动服务并配置开机自启
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
客户端可通过OpenVPN GUI或命令行导入证书(client1.crt、client1.key、ca.crt)连接至服务器公网IP,单网卡环境下的这种方案不仅节省硬件成本,还能灵活应对带宽限制和网络拓扑变化。
单网卡CentOS服务器通过OpenVPN实现安全远程访问,是低成本高效率的解决方案,掌握此技能,你不仅能构建自己的私有云访问通道,还能为中小企业提供基础但可靠的远程接入能力。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
