在企业网络或远程办公场景中,安全可靠的虚拟私人网络(VPN)是保障数据传输机密性和访问控制的关键工具,对于使用CentOS操作系统的服务器管理员来说,配置OpenVPN是一个既实用又高效的解决方案,本文将详细介绍如何在CentOS 7/8系统上部署和配置OpenVPN服务,包括证书生成、服务启动、防火墙设置以及客户端连接配置,帮助你快速搭建一个稳定、安全的私有网络隧道。
确保你的CentOS系统已更新至最新版本,登录服务器后,执行以下命令更新系统:
sudo yum update -y
安装EPEL仓库(如果尚未安装),因为OpenVPN依赖一些额外的软件包:
sudo yum install epel-release -y
然后安装OpenVPN及相关工具:
sudo yum install openvpn easy-rsa -y
Easy-RSA 是用于生成SSL/TLS证书的工具,是OpenVPN认证体系的核心组件,复制Easy-RSA模板文件到默认目录:
make-cadir /etc/openvpn/easy-rsa
进入该目录并编辑vars文件,设置国家、省份、组织等信息(根据实际填写):
cd /etc/openvpn/easy-rsa nano vars
如:
export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"保存后,初始化PKI(公钥基础设施)并生成CA证书:
./clean-all ./build-ca
下一步生成服务器证书和密钥:
./build-key-server server
然后为客户端生成证书(例如一个名为client1的客户端):
./build-key client1
生成Diffie-Hellman参数(用于密钥交换):
./build-dh
所有证书和密钥已生成完毕,现在创建OpenVPN服务器配置文件:
sudo cp /usr/share/doc/openvpn/sample-config-files/server.conf /etc/openvpn/ sudo nano /etc/openvpn/server.conf
在配置文件中修改以下关键项:
port 1194:指定端口(可改为其他端口以避开常见攻击)proto udp:推荐使用UDP协议提高性能dev tun:使用TUN模式创建点对点隧道ca /etc/openvpn/easy-rsa/pki/ca.crtcert /etc/openvpn/easy-rsa/pki/issued/server.crtkey /etc/openvpn/easy-rsa/pki/private/server.keydh /etc/openvpn/easy-rsa/pki/dh.pem
启用IP转发以支持NAT:
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf sudo sysctl -p
配置防火墙(firewalld)开放1194端口:
sudo firewall-cmd --permanent --add-port=1194/udp sudo firewall-cmd --reload
启动OpenVPN服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
将客户端所需的证书文件(ca.crt、client1.crt、client1.key)打包成.ovpn配置文件,并通过安全方式分发给用户,客户端只需安装OpenVPN GUI或使用Linux命令行工具即可连接。
至此,你在CentOS上成功搭建了一个基于TLS/SSL加密的OpenVPN服务器,具备良好的安全性与灵活性,适用于中小型企业或个人远程办公需求,后续可通过日志监控(/var/log/messages)进一步优化性能与排查问题。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
