随着远程办公和分布式团队的普及,虚拟私人网络(VPN)已成为企业与个人用户保障网络安全的重要工具,CentOS 6作为一款曾经广泛使用的Linux发行版,在许多遗留系统中仍发挥着作用,尽管其已进入EOL(End of Life)阶段,但在某些特定场景下,依然需要在其上部署OpenVPN以实现安全远程访问,本文将详细介绍如何在CentOS 6环境下搭建并配置OpenVPN服务,包括环境准备、证书生成、服务配置、防火墙设置及客户端连接等关键步骤。
确保你的CentOS 6服务器具备以下条件:
- 系统版本为CentOS 6.x(建议使用6.10或更高版本)
- 已安装root权限
- 具备公网IP地址(用于外网访问)
- 安装了基本开发工具(如gcc、make、openssl-devel)
第一步:更新系统并安装依赖包
执行以下命令更新系统并安装OpenVPN及相关依赖:
yum update -y yum install -y openvpn easy-rsa gcc make openssl-devel
第二步:配置Easy-RSA证书系统
OpenVPN使用SSL/TLS加密通信,因此必须生成CA证书和服务器/客户端证书,将Easy-RSA脚本复制到指定目录:
cp -r /usr/share/easy-rsa /etc/openvpn/ cd /etc/openvpn/easy-rsa/2.0/
编辑vars文件,修改以下变量以符合你的组织信息:
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@example.com"
运行以下命令生成CA证书和服务器证书:
source ./vars ./clean-all ./build-ca # 生成CA证书 ./build-key-server server # 生成服务器证书 ./build-dh # 生成Diffie-Hellman参数
第三步:配置OpenVPN服务器
创建OpenVPN主配置文件 /etc/openvpn/server.conf如下:
port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/easy-rsa/2.0/keys/server.crt key /etc/openvpn/easy-rsa/2.0/keys/server.key dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem server 10.8.0.0 255.255.255.0 push "route 192.168.1.0 255.255.255.0" # 推送内网路由 client-to-client keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn-status.log log /var/log/openvpn.log verb 3
第四步:启用IP转发和防火墙规则
编辑/etc/sysctl.conf,取消注释以下行以启用IP转发:
net.ipv4.ip_forward = 1
应用更改:
sysctl -p
配置iptables规则允许流量通过:
iptables -A INPUT -p udp --dport 1194 -j ACCEPT iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE service iptables save
第五步:启动OpenVPN服务
service openvpn start chkconfig openvpn on
第六步:生成客户端证书
在Easy-RSA目录中为每个客户端生成唯一证书:
./build-key client1
将以下文件打包分发给客户端:
- ca.crt
- client1.crt
- client1.key
- ta.key(需用
openvpn --genkey --secret ta.key生成)
第七步:测试连接
在客户端使用OpenVPN GUI或命令行工具导入证书,连接服务器IP:1194,即可建立加密隧道。
虽然CentOS 6已不再受官方支持,但其稳定性和兼容性使其在某些老旧环境中仍有价值,通过上述步骤,你可以在该平台上成功部署OpenVPN服务,实现安全的远程接入,需要注意的是,由于系统安全性风险较高,建议仅在隔离网络或受控环境中使用,并尽快迁移至现代Linux发行版(如CentOS Stream或Ubuntu LTS)。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
