随着远程办公和移动设备的普及,企业与个人用户对安全、稳定、可扩展的网络访问需求日益增长,虚拟私人网络(VPN)作为保障数据传输隐私与安全的核心技术,成为许多用户首选方案,本文将详细介绍如何在CentOS Linux系统的VPS(虚拟专用服务器)上部署一个功能完整、配置灵活的OpenVPN服务,适用于家庭办公、企业分支机构或个人隐私保护等多种场景。
确保你拥有一个运行CentOS 7或8的VPS实例,并具备root权限,建议使用CentOS Stream或较新版本以获得更好的兼容性和安全性支持,第一步是更新系统软件包:
sudo yum update -y
接着安装EPEL仓库(增强版软件源),为后续安装OpenVPN及依赖项做准备:
sudo yum install epel-release -y
然后安装OpenVPN及相关工具(如easy-rsa用于证书管理):
sudo yum install openvpn easy-rsa -y
完成安装后,复制默认配置文件到适当目录并设置权限:
sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/ sudo chown root:root /etc/openvpn/server.conf
接下来生成PKI(公钥基础设施)证书体系,进入easy-rsa目录并初始化:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass # 创建根CA证书,不设置密码便于自动化 sudo ./easyrsa gen-dh # 生成Diffie-Hellman参数 sudo ./easyrsa build-server-full server nopass # 为服务器生成证书 sudo ./easyrsa gen-client-full client1 nopass # 为客户生成证书(可多客户)
完成后,复制证书与密钥到OpenVPN配置目录:
sudo cp pki/ca.crt pki/dh.pem pki/issued/server.crt pki/private/server.key /etc/openvpn/
编辑 /etc/openvpn/server.conf 文件,根据实际环境调整以下关键参数:
port 1194:端口可根据需要更改(建议避开常用端口)proto udp:推荐UDP协议提升性能dev tun:TUN模式提供点对点隧道ca ca.crt,cert server.crt,key server.key:指定证书路径dh dh.pem:指定DH参数文件server 10.8.0.0 255.255.255.0:分配客户端IP段push "redirect-gateway def1 bypass-dhcp":强制客户端流量走VPNpush "dhcp-option DNS 8.8.8.8":推送DNS服务器
保存配置后,启用IP转发并配置防火墙规则:
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf sudo sysctl -p sudo firewall-cmd --permanent --add-port=1194/udp sudo firewall-cmd --permanent --add-masquerade sudo firewall-cmd --reload
最后启动OpenVPN服务并设为开机自启:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
至此,你的CentOS VPS已成功搭建OpenVPN服务器,客户端可通过导出的client1.crt、client1.key、ca.crt等文件连接,实现加密通信,建议定期更新证书、监控日志、限制用户权限,确保长期安全运行,此方案轻量高效,适合中小规模部署,是构建私有网络的理想起点。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
