在现代企业网络和远程办公场景中,安全可靠的虚拟私人网络(VPN)已成为不可或缺的基础设施,CentOS作为一款稳定、开源且广泛用于服务器环境的操作系统,是部署VPN服务的理想选择之一,本文将详细介绍如何在CentOS 7或8系统上安装、配置并开启OpenVPN服务,从而实现安全的远程访问。
确保你已经拥有一个运行CentOS的服务器,并具备root权限或sudo权限,我们以OpenVPN为例,因为它功能强大、社区支持广泛,且兼容性好。
第一步:更新系统并安装依赖包
执行以下命令确保系统是最新的:
sudo yum update -y
然后安装OpenVPN及相关工具:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
第二步:生成证书和密钥(PKI)
OpenVPN使用SSL/TLS加密,因此需要一套CA证书体系,进入Easy-RSA目录:
cd /usr/share/easy-rsa/ sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/ sudo chown -R root:root /etc/openvpn/easy-rsa/ cd /etc/openvpn/easy-rsa/
编辑vars文件设置你的组织信息:
nano vars
修改如下变量(根据实际情况填写):
set_var EASYRSA_KEY_SIZE 2048
set_var EASYRSA_CA_EXPIRE 3650
set_var EASYRSA_CERT_EXPIRE 3650
set_var EASYRSA_COUNTRY "CN"
set_var EASYRSA_PROVINCE "Beijing"
set_var EASYRSA_CITY "Beijing"
set_var EASYRSA_ORG "MyCompany"
set_var EASYRSA_EMAIL "admin@example.com"
set_var EASYRSA_CN "MyCA"接下来生成CA证书和密钥:
./easyrsa init-pki ./easyrsa build-ca
之后为服务器生成证书和密钥:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
最后生成Diffie-Hellman参数和TLS密钥:
./easyrsa gen-dh openvpn --genkey --secret ta.key
第三步:配置OpenVPN服务器
复制示例配置文件并进行修改:
sudo cp /usr/share/doc/openvpn/sample-config-files/server.conf /etc/openvpn/ sudo nano /etc/openvpn/server.conf
关键配置项包括:
port 1194(默认端口)proto udp(推荐UDP协议)dev tun(TUN模式)ca ca.crtcert server.crtkey server.keydh dh.pemtls-auth ta.key 0(启用TLS认证)server 10.8.0.0 255.255.255.0(分配给客户端的IP段)push "redirect-gateway def1 bypass-dhcp"(强制客户端流量走VPN)push "dhcp-option DNS 8.8.8.8"(DNS服务器)
第四步:启动并设置开机自启
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
第五步:配置防火墙(如使用firewalld)
sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --reload
第六步:客户端配置
将上述生成的证书文件(ca.crt、client.crt、client.key、ta.key)打包成.ovpn配置文件,即可在Windows、Mac、Android等设备上使用OpenVPN客户端连接。
至此,你已成功在CentOS上搭建并开启了OpenVPN服务,该方案适用于小型企业或个人用户,安全性高、稳定性强,建议定期更新证书、监控日志、配置访问控制列表(ACL),以进一步提升安全性。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
