在现代企业网络环境中,远程办公和安全访问内网资源已成为刚需,CentOS作为一款稳定、开源的Linux发行版,常被用于服务器部署,而OpenVPN则是业界广泛使用的开源虚拟专用网络(VPN)解决方案,本文将详细介绍如何在CentOS 7或CentOS 8/9系统上安装、配置并启动OpenVPN服务,帮助用户建立一个安全、可靠的远程连接通道。
确保你的CentOS系统已更新至最新版本,打开终端并执行以下命令:
sudo yum update -y
安装EPEL仓库(Extra Packages for Enterprise Linux),这是获取OpenVPN及相关依赖包的重要前提:
sudo yum install epel-release -y
然后安装OpenVPN软件包及其管理工具:
sudo yum install openvpn easy-rsa -y
Easy-RSA是用于生成证书和密钥的工具,是OpenVPN实现SSL/TLS加密的核心组件。
下一步是设置证书颁发机构(CA),进入Easy-RSA目录并初始化PKI环境:
cd /usr/share/easy-rsa/ sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/ cd /etc/openvpn/ sudo make-cadir ./easy-rsa cd ./easy-rsa/
编辑vars文件,设置你的国家、组织等信息,
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@example.com" export KEY_OU="IT Department"
保存后,执行以下命令生成CA证书:
./clean-all ./build-ca
接下来生成服务器证书和密钥:
./build-key-server server
根据提示输入相关信息,并确认是否签名证书,之后生成客户端证书(可为多个客户端分别生成):
./build-key client1
生成Diffie-Hellman参数和TLS密钥(增强安全性):
./build-dh openvpn --genkey --secret ta.key
现在开始配置OpenVPN服务,复制示例配置文件到/etc/openvpn目录并重命名:
sudo cp /usr/share/doc/openvpn-*/sample-config-files/server.conf /etc/openvpn/ sudo nano /etc/openvpn/server.conf
修改关键配置项,如:
port 1194:指定监听端口(默认UDP)proto udp:使用UDP协议(性能更优)dev tun:使用TUN设备模式ca ca.crt、cert server.crt、key server.key:指向刚刚生成的证书文件dh dh.pem、tls-auth ta.key 0:启用TLS认证server 10.8.0.0 255.255.255.0:定义内部IP段(客户端将分配该段IP)
配置完成后,启动OpenVPN服务并设置开机自启:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
检查状态:
sudo systemctl status openvpn@server
若无报错,则服务已成功运行,此时你可以在客户端(Windows、macOS、Android、iOS)安装OpenVPN客户端软件,导入之前生成的client1.crt、client1.key、ca.crt和ta.key文件,即可连接服务器。
需要注意的是,防火墙必须开放UDP 1194端口,否则无法建立连接,在CentOS中配置firewalld:
sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --reload
建议启用IP转发以允许客户端访问内网资源:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
通过以上步骤,你已经成功在CentOS上搭建了一个功能完整的OpenVPN服务,能够为远程用户提供安全、加密的网络接入能力,适用于企业办公、个人远程访问等多种场景。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
