在现代网络环境中,虚拟私人网络(VPN)已成为远程办公、安全访问内网资源以及保护数据传输隐私的重要工具,作为网络工程师,掌握在 CentOS 系统上部署和管理 OpenVPN 是一项必备技能,本文将详细介绍如何在 CentOS 7 或 CentOS 8 上搭建 OpenVPN 服务器,并配置客户端连接,确保企业或个人用户能够安全、稳定地使用私有网络通道。
第一步:准备工作
确保你有一台运行 CentOS 的服务器(建议 CentOS 7/8),具备公网 IP 地址,并已安装基本的防火墙工具(如 firewalld 或 iptables),登录服务器后,首先更新系统并安装必要软件包:
sudo yum update -y sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
Easy-RSA 是用于生成证书和密钥的工具,OpenVPN 依赖它来实现 TLS 加密通信。
第二步:配置 OpenVPN 服务器
OpenVPN 的主配置文件位于 /etc/openvpn/server.conf,我们先复制默认配置模板并进行修改:
sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/ sudo nano /etc/openvpn/server.conf
关键配置项如下:
port 1194:指定监听端口(可更改,但需与防火墙一致)proto udp:使用 UDP 协议,性能更优dev tun:创建点对点隧道接口ca ca.crt、cert server.crt、key server.key:证书路径,后续会用 Easy-RSA 生成dh dh2048.pem:Diffie-Hellman 参数文件(由 Easy-RSA 生成)server 10.8.0.0 255.255.255.0:为客户端分配私有 IP 段push "redirect-gateway def1 bypass-dhcp":强制客户端流量通过 VPN(适用于内网访问)push "dhcp-option DNS 8.8.8.8":推送 DNS 服务器地址
第三步:生成证书和密钥
使用 Easy-RSA 工具生成 CA 根证书及服务器、客户端证书:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-dh sudo cp pki/dh.pem /etc/openvpn/ sudo cp pki/ca.crt pki/issued/server.crt pki/private/server.key /etc/openvpn/
第四步:启用 IP 转发与防火墙规则
为了让客户端能访问外网,需开启 Linux 的 IP 转发功能:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
然后配置防火墙放行 OpenVPN 流量:
sudo firewall-cmd --permanent --add-port=1194/udp sudo firewall-cmd --permanent --add-masquerade sudo firewall-cmd --reload
第五步:启动服务并设置开机自启
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
第六步:客户端配置
在客户端(如 Windows、Linux、Android)上,需获取以下文件:
- ca.crt(CA 根证书)
- client.crt(客户端证书)
- client.key(客户端私钥)
创建一个 .ovpn 配置文件,
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1
auth-user-pass将该配置文件导入客户端(如 OpenVPN GUI 或 Tunnelblick),输入用户名密码即可连接。
通过以上步骤,你已在 CentOS 系统成功搭建了 OpenVPN 服务器,并实现了客户端的安全接入,此方案适合中小型组织或个人用户,具备良好的可扩展性和安全性,作为网络工程师,理解底层原理并能灵活调整配置(如多用户认证、负载均衡、日志监控等)是持续提升的关键,网络安全无小事,定期更新证书、监控日志、限制访问权限,才能真正保障你的私有网络环境。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
