在企业网络和远程办公日益普及的今天,通过虚拟专用网络(VPN)实现安全、加密的远程访问已成为网络管理员的基本技能之一,CentOS 6.6 作为一款稳定且广泛部署的 Linux 发行版,在许多旧有服务器环境中依然活跃,本文将详细介绍如何在 CentOS 6.6 上安装、配置并启动 OpenVPN 服务,从而为远程用户提供安全、可靠的接入通道。
第一步:系统准备与环境检查
确保你拥有一个运行 CentOS 6.6 的服务器,并具备 root 权限,建议使用最小化安装版本以减少不必要的软件包冲突,首先更新系统软件包列表:
yum update -y
第二步:安装 OpenVPN 及依赖组件
OpenVPN 依赖于 OpenSSL 和 TUN/TAP 模块,执行以下命令安装必要软件包:
yum install -y openvpn easy-rsa iptables-services
easy-rsa 是用于生成证书和密钥的工具集;iptables-services 用于配置防火墙规则以允许流量通过。
第三步:配置证书颁发机构(CA)
OpenVPN 使用 PKI(公钥基础设施)进行身份认证,我们使用 easy-rsa 工具来创建 CA 和服务器/客户端证书。
-
复制默认配置到
/etc/openvpn/目录:cp -r /usr/share/easy-rsa/ /etc/openvpn/ cd /etc/openvpn/easy-rsa/2.0/
-
编辑
vars文件,设置国家、组织等信息(如 CN=China, O=MyCompany):vim vars
-
初始化 PKI 环境并生成 CA 密钥对:
source ./vars ./clean-all ./build-ca
-
生成服务器证书和密钥:
./build-key-server server
-
为每个客户端生成独立证书(例如客户端名为 client1):
./build-key client1
-
生成 Diffie-Hellman 参数(用于密钥交换):
./build-dh
第四步:配置 OpenVPN 服务器
创建主配置文件 /etc/openvpn/server.conf如下:
port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/easy-rsa/2.0/keys/server.crt key /etc/openvpn/easy-rsa/2.0/keys/server.key dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" user nobody group nobody persist-key persist-tun status openvpn-status.log verb 3
此配置指定了 UDP 协议端口、TUN 设备类型、CA 和证书路径,并启用内部子网分配(10.8.0.0/24),同时推送路由和 DNS 设置。
第五步:启用 IP 转发与防火墙规则
编辑 /etc/sysctl.conf,确保内核支持 IP 转发:
net.ipv4.ip_forward = 1
应用更改:
sysctl -p
配置 iptables 规则以转发流量并允许 OpenVPN 流量:
iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE service iptables save
第六步:启动 OpenVPN 服务
service openvpn start chkconfig openvpn on
第七步:客户端配置
将 ca.crt、client1.crt、client1.key 文件打包发送给客户端,并创建 .ovpn 配置文件,内容示例:
client dev tun proto udp remote your-server-ip 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key remote-cert-eku "TLS Web Client Authentication" verb 3
客户端使用 OpenVPN GUI 或命令行连接即可,整个流程完成后,用户可通过加密隧道安全访问内网资源,适用于远程办公、跨地域访问等场景。
虽然 CentOS 6.6 已停止维护,但其稳定性和易用性仍适合特定遗留系统,通过上述步骤,可快速搭建出功能完备的 OpenVPN 服务,满足基本的安全远程访问需求,建议后续逐步迁移到更新的平台以保障长期安全。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
