在 CentOS 6.5 系统上搭建安全可靠的 OpenVPN 服务器指南

随着远程办公和企业网络扩展的需求日益增长,构建一个稳定、安全的虚拟私人网络（VPN）服务成为许多中小型企业或个人用户的刚需，CentOS 6.5 作为一款经典的 Linux 发行版，在稳定性与兼容性方面表现优异，尤其适合用于搭建基础网络服务，本文将详细介绍如何在 CentOS 6.5 上部署并配置 OpenVPN 服务器，实现安全远程访问内网资源。

第一步：准备工作
确保你有一台运行 CentOS 6.5 的服务器，并具备 root 权限，建议使用最小化安装版本以减少潜在漏洞，更新系统软件包至最新状态：

yum update -y

第二步：安装 OpenVPN 及依赖组件
OpenVPN 是开源的 SSL/TLS 协议实现，支持多种加密算法，安全性高且易于管理，通过 yum 安装 OpenVPN 和 Easy-RSA（用于证书签发）：

yum install openvpn easy-rsa -y

第三步：配置证书颁发机构（CA）
OpenVPN 使用 PKI（公钥基础设施）进行身份认证，首先需要生成 CA 根证书：

1. 复制 Easy-RSA 配置文件到默认目录：

   cp -r /usr/share/easy-rsa/ /etc/openvpn/
   cd /etc/openvpn/easy-rsa/2.0/

2. 编辑 vars 文件，设置国家、组织等信息（根据实际填写）：

   export KEY_COUNTRY="CN"
   export KEY_PROVINCE="Beijing"
   export KEY_CITY="Beijing"
   export KEY_ORG="MyCompany"
   export KEY_EMAIL="admin@example.com"

3. 初始化 PKI 并生成 CA 证书：

   ./clean-all
   ./build-ca

   执行过程中会提示输入 CA 名称，如“OpenVPN-CA”。

第四步：生成服务器证书和密钥
继续在 Easy-RSA 目录下执行：

./build-key-server server

此命令会生成服务器证书和私钥,同时提示是否信任该证书（输入 yes）。

第五步：生成客户端证书（可选多个）
每个连接用户都需要独立证书，例如为客户端 "client1" 生成：

./build-key client1

第六步：生成 Diffie-Hellman 参数和 TLS 密钥
这些是用于密钥交换的安全参数，生成时间较长（约5-10分钟）：

./build-dh
openvpn --genkey --secret keys/ta.key

第七步：配置 OpenVPN 服务器主文件
复制示例配置文件并修改：

cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/
vi /etc/openvpn/server.conf

关键配置项如下（根据实际情况调整）：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

第八步：启用 IP 转发和防火墙规则
编辑 /etc/sysctl.conf 启用转发：

net.ipv4.ip_forward = 1

执行：

sysctl -p

配置 iptables 放行 OpenVPN 流量（UDP 1194）并做 NAT：

iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
service iptables save

第九步：启动 OpenVPN 服务

service openvpn start
chkconfig openvpn on

第十步：分发客户端配置文件
客户端需包含 CA 证书、客户端证书、私钥及 TLS 密钥，创建客户端配置文件（如 client.ovpn示例：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
comp-lzo
verb 3

至此,OpenVPN 服务器已成功部署，客户端可通过 .ovpn 文件连接，注意：定期备份证书和密钥，定期更新 OpenVPN 版本以修复潜在漏洞。

虽然 CentOS 6.5 已于 2024 年停止维护，但其稳定性仍可用于实验或遗留系统，若用于生产环境，建议升级至 CentOS 7/8 或 RHEL 系列，同时结合防火墙策略、日志审计和双因素认证进一步提升安全性。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN