首页 / VPN翻墙 / 在 CentOS 7 上搭建安全可靠的 OpenVPN 服务器指南

在 CentOS 7 上搭建安全可靠的 OpenVPN 服务器指南

khdsff1 2026-04-12 3 0

在当今远程办公和分布式团队日益普及的背景下，建立一个稳定、安全的虚拟私人网络（VPN）服务已成为企业与个人用户的刚需，OpenVPN 是目前最成熟、开源且广泛使用的 VPN 解决方案之一，尤其适合在 CentOS 7 这类稳定的企业级 Linux 发行版上部署，本文将详细介绍如何在 CentOS 7 系统中从零开始搭建一套完整的 OpenVPN 服务器，涵盖环境准备、证书生成、配置文件编写、防火墙设置以及客户端连接步骤。

确保你的 CentOS 7 服务器满足基本要求：具备公网 IP 地址、运行于 64 位架构、已安装基础开发工具（如 gcc、make、openssl-devel），并拥有 root 权限,建议使用最小化安装版本以减少潜在漏洞。

第一步是安装 OpenVPN 和 Easy-RSA（用于管理 TLS/SSL 证书）,执行以下命令：

yum install epel-release -y
yum install openvpn easy-rsa -y

初始化 PKI（公钥基础设施）目录，复制 Easy-RSA 模板到 /etc/openvpn 并进行配置：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
vi vars  # 修改默认变量（如 KEY_COUNTRY、KEY_PROVINCE、KEY_CITY 等）

然后执行：

./clean-all
./build-ca    # 创建根证书颁发机构（CA）
./build-key-server server   # 生成服务器证书
./build-key client1         # 为第一个客户端生成证书（可重复此步为多个用户）
./build-dh                  # 生成 Diffie-Hellman 参数

下一步是配置 OpenVPN 服务器主文件，创建 /etc/openvpn/server.conf 文件，内容如下（可根据实际需求调整）：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

启用 IP 转发功能以允许数据包转发：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

配置 iptables 防火墙规则,确保流量正确转发：

iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
service iptables save

启动 OpenVPN 服务并设置开机自启：

systemctl enable openvpn@server
systemctl start openvpn@server

客户端方面，需将 ca.crt、client1.crt、client1.key 文件打包发送给用户，并使用 OpenVPN 客户端软件（如 OpenVPN Connect 或官方 GUI）导入配置文件,典型客户端配置示例：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

通过以上步骤，你即可在 CentOS 7 上成功搭建一个支持多用户、加密传输、自动路由的 OpenVPN 服务，为企业或个人提供安全、私密的远程访问通道，后续还可结合 fail2ban、日志监控等工具进一步增强安全性。

在 CentOS 7 上搭建安全可靠的 OpenVPN 服务器指南第1张