在 CentOS 6.5 系统上搭建 OpenVPN 服务，完整配置指南与实践步骤

在企业网络和远程办公日益普及的今天，虚拟专用网络（VPN）已成为保障数据安全传输的重要工具，CentOS 6.5 作为一款稳定且广泛部署的企业级 Linux 发行版，虽然已进入维护阶段（EOL 已于 2024 年初结束），但在一些老旧系统环境中仍被使用，本文将详细介绍如何在 CentOS 6.5 上搭建 OpenVPN 服务，包括环境准备、证书生成、服务配置、防火墙设置及客户端连接测试,帮助网络工程师实现安全可靠的远程访问。

确保你有一台运行 CentOS 6.5 的服务器，并具备 root 权限，建议该服务器拥有公网 IP 地址，以便外部用户能通过互联网连接，安装前请更新系统软件包：

yum update -y

接下来安装 OpenVPN 和 Easy-RSA（用于证书管理）：

yum install openvpn easy-rsa -y

初始化 PKI（公钥基础设施），复制默认配置文件到 /etc/openvpn/easy-rsa 目录：

cp -r /usr/share/easy-rsa/ /etc/openvpn/
cd /etc/openvpn/easy-rsa

编辑 vars 文件，设置密钥长度、组织名称等信息，

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"
export KEY_OU="IT Department"
export KEY_NAME="server"
export KEY_ALTNAMES="server.mycompany.com"
export KEY_SIZE=2048

执行以下命令生成 CA 根证书和服务器证书：

./clean-all
./build-ca
./build-key-server server
./build-key client1
./build-dh

生成完成后，将证书和密钥拷贝到 OpenVPN 配置目录：

mkdir -p /etc/openvpn/easy-rsa/keys/
cp /etc/openvpn/easy-rsa/keys/{ca.crt,server.crt,server.key,ca.key,dh2048.pem} /etc/openvpn/

创建主配置文件 /etc/openvpn/server.conf如下：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

启用 IP 转发（让服务器能转发客户端流量）：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

配置 iptables 规则以允许 OpenVPN 流量并进行 NAT 转换：

iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
service iptables save

启动 OpenVPN 服务：

service openvpn start
chkconfig openvpn on

客户端可通过 OpenVPN GUI 或命令行连接，需提供客户端证书（client1.crt）、私钥（client1.key）和 CA 证书（ca.crt）,连接后即可安全访问内网资源。

尽管 CentOS 6.5 已过时，其稳定的内核和成熟生态仍适合学习和测试 OpenVPN 架构，建议后续迁移至 CentOS Stream 或 Rocky Linux 等现代发行版,以获得长期支持与安全更新。

VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN