在现代企业网络环境中,远程办公和安全访问内网资源已成为刚需,OpenVPN作为一种开源、跨平台的虚拟私人网络(VPN)解决方案,因其高安全性、灵活性和易用性而广受欢迎,对于使用CentOS操作系统的网络管理员来说,掌握如何在该系统上部署和配置OpenVPN至关重要,本文将详细介绍如何在CentOS 7或8系统中安装、配置并启动OpenVPN服务,确保远程用户能够安全地接入内网。
准备工作阶段需要确保服务器满足基本要求:一台运行CentOS 7/8的物理机或虚拟机,具备公网IP地址,且防火墙已允许OpenVPN默认端口(通常为UDP 1194),建议使用root权限执行以下步骤,或通过sudo获得相应权限。
第一步是安装必要的软件包,使用YUM包管理器安装OpenVPN及相关工具:
yum install epel-release -y yum install openvpn easy-rsa -y
easy-rsa用于生成证书和密钥,这是OpenVPN认证机制的核心。
第二步是配置证书颁发机构(CA),进入EasyRSA目录并初始化PKI环境:
cd /usr/share/easy-rsa/ cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/ cd /etc/openvpn/easy-rsa/ ./easyrsa init-pki ./easyrsa build-ca nopass
这里我们创建了一个无需密码保护的CA证书,适合自动化部署场景,接下来生成服务器证书和密钥:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
为客户端生成证书(可批量生成多个客户端证书):
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
第三步是配置OpenVPN主服务文件,复制示例配置并修改:
cp /usr/share/doc/openvpn/sample/sample-config-files/server.conf /etc/openvpn/ vim /etc/openvpn/server.conf
关键配置项包括:
port 1194:指定监听端口;proto udp:使用UDP协议提高性能;dev tun:使用TUN设备模式;ca /etc/openvpn/easy-rsa/pki/ca.crt:指定CA证书路径;cert /etc/openvpn/easy-rsa/pki/issued/server.crt和key /etc/openvpn/easy-rsa/pki/private/server.key:服务器证书和私钥;dh /etc/openvpn/easy-rsa/pki/dh.pem:Diffie-Hellman参数文件(需先生成:./easyrsa gen-dh);push "redirect-gateway def1 bypass-dhcp":强制客户端流量走VPN隧道;push "dhcp-option DNS 8.8.8.8":推送DNS服务器地址。
第四步启用IP转发和防火墙规则,编辑 /etc/sysctl.conf 添加:
net.ipv4.ip_forward = 1
然后执行 sysctl -p 生效,防火墙设置如下(以firewalld为例):
firewall-cmd --add-port=1194/udp --permanent firewall-cmd --add-forward-port=port=1194:proto=udp:toaddr=10.8.0.1 --permanent firewall-cmd --reload
启动OpenVPN服务:
systemctl enable openvpn@server systemctl start openvpn@server
确认服务状态:systemctl status openvpn@server。
至此,OpenVPN服务已在CentOS系统上成功部署,客户端只需将CA证书、客户端证书、私钥及配置文件打包后导入OpenVPN客户端(如OpenVPN GUI),即可连接,此方案支持多用户并发、灵活路由策略,并可通过日志监控实现运维审计,是构建企业级安全远程访问体系的理想选择。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
