在 CentOS 6 系统中搭建 OpenVPN 服务的完整指南

随着远程办公和安全访问需求的日益增长,虚拟私人网络（VPN）已成为企业与个人用户保障数据传输安全的重要工具，CentOS 6 作为一款曾经广泛使用的 Linux 发行版，在许多遗留系统中仍发挥着作用，本文将详细介绍如何在 CentOS 6 环境下搭建 OpenVPN 服务，实现安全、可靠的远程访问。

确保你的 CentOS 6 系统已安装并配置好基本网络环境，包括静态 IP 地址、DNS 解析和防火墙规则（iptables），建议使用 root 用户进行操作，或通过 sudo 提权执行命令。

第一步：安装必要的软件包
OpenVPN 的搭建依赖于 EPEL（Extra Packages for Enterprise Linux）仓库，运行以下命令启用 EPEL 并安装 OpenVPN 和 easy-rsa 工具：

rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
yum install -y openvpn easy-rsa

第二步：生成证书和密钥
OpenVPN 使用 TLS/SSL 加密通信，因此需要为服务器和客户端生成数字证书，复制 easy-rsa 配置到 /etc/openvpn 目录，并修改相关参数：

cp -r /usr/share/easy-rsa /etc/openvpn/
cd /etc/openvpn/easy-rsa/2.0
vi vars

在 vars 文件中设置组织名称（如 ORG="MyCompany"）、国家代码（如 KEY_COUNTRY="CN"）等信息，然后执行以下命令生成 CA 证书、服务器证书和客户端证书：

source ./vars
./clean-all
./build-ca
./build-key-server server
./build-key client1
./build-dh

这些步骤会生成一系列文件,包括 ca.crt、server.crt、server.key、dh2048.pem 和 client1.crt、client1.key，它们是后续配置的核心。

第三步：配置 OpenVPN 服务器
创建 /etc/openvpn/server.conf 文件，内容如下：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/2.0/ca.crt
cert /etc/openvpn/easy-rsa/2.0/server.crt
key /etc/openvpn/easy-rsa/2.0/server.key
dh /etc/openvpn/easy-rsa/2.0/dh2048.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

此配置指定了服务端口（UDP 1194）、虚拟子网（10.8.0.0/24），并推送本地网络路由给客户端，便于访问内网资源。

第四步：启动 OpenVPN 服务并配置防火墙
启用 IP 转发功能（编辑 /etc/sysctl.conf 中的 net.ipv4.ip_forward=1），并应用更改：

sysctl -p

开放防火墙端口：

iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
service iptables save

启动 OpenVPN 服务：

service openvpn start
chkconfig openvpn on

第五步：分发客户端配置文件
将 ca.crt、client1.crt、client1.key 和 client.ovpn（包含连接信息的配置文件）打包发送给客户端，客户端只需导入该配置即可连接服务器。

在 CentOS 6 上搭建 OpenVPN 是一项经典但实用的技术方案，尤其适用于需要稳定、加密远程访问的企业环境，虽然 CentOS 6 已停止官方支持，但在受控环境中合理使用仍可满足特定需求，务必定期更新证书、监控日志，并结合其他安全措施（如强密码策略、双因素认证）提升整体安全性。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN