首页 / 免费VPN / 在 CentOS 7 上搭建安全可靠的 OpenVPN 服务器指南

在 CentOS 7 上搭建安全可靠的 OpenVPN 服务器指南

khdsff1 2026-04-04 3 0

在当今远程办公和分布式团队日益普及的背景下,建立一个稳定、安全的虚拟私人网络（VPN）服务已成为企业与个人用户的刚需，CentOS 7 作为一款长期支持（LTS）的 Linux 发行版，因其稳定性、安全性以及广泛的社区支持，成为搭建企业级 VPN 服务器的理想平台之一，本文将详细介绍如何在 CentOS 7 系统上部署并配置 OpenVPN 服务器，确保用户能够通过加密隧道安全访问内部网络资源。

我们需要准备一台运行 CentOS 7 的物理机或虚拟机，并确保其拥有公网 IP 地址（若为内网环境可使用 NAT 转发），系统需具备基本的网络配置能力，且防火墙（firewalld）应处于开启状态以便后续规则设置，建议在操作前备份关键配置文件，以防误操作导致服务中断。

第一步是安装 OpenVPN 和 Easy-RSA 工具包，Easy-RSA 是用于生成证书和密钥的工具，OpenVPN 则是核心服务软件，执行以下命令完成安装：

sudo yum install epel-release -y
sudo yum install openvpn easy-rsa -y

安装完成后,需要初始化证书颁发机构（CA）和服务器证书，通常将 Easy-RSA 的配置文件复制到 /etc/openvpn/easy-rsa 目录下：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑 vars 文件，根据实际需求修改国家、组织、单位等信息（如 export KEY_COUNTRY="CN"），然后执行以下命令生成 CA 证书：

source ./vars
./clean-all
./build-ca

接着生成服务器证书和密钥：

./build-key-server server

此时会提示输入相关信息,包括 Common Name（此处填写 server），确认后生成服务器证书和密钥文件，为增强安全性，我们还需生成 Diffie-Hellman 参数：

./build-dh

下一步是配置 OpenVPN 服务器主文件，创建 /etc/openvpn/server.conf 文件，并添加如下内容：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

server 10.8.0.0 255.255.255.0 定义了客户端连接后分配的私有 IP 段；push "redirect-gateway" 将客户端流量重定向至 VPN，实现全网访问；tls-auth 用于防止 DDoS 攻击，提升安全性。

接下来启用 IP 转发功能，使服务器能转发客户端流量，编辑 /etc/sysctl.conf 文件，添加：

net.ipv4.ip_forward = 1

应用更改：

sysctl -p

配置防火墙规则允许 OpenVPN 流量通过：

sudo firewall-cmd --permanent --add-port=1194/udp
sudo firewall-cmd --permanent --add-masquerade
sudo firewall-cmd --reload

启动 OpenVPN 服务并设为开机自启：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

至此,OpenVPN 服务器已成功部署，用户可通过生成客户端证书（使用 ./build-key client1）并配置 .ovpn 配置文件来连接服务器，推荐使用 GUI 客户端（如 OpenVPN Connect）或命令行方式连接，确保连接时提供正确的证书和密码。

通过以上步骤,我们可以在 CentOS 7 上构建一个功能完整、安全可控的 OpenVPN 服务器，该方案不仅适用于小型办公场景，也可扩展至多用户、多分支机构的企业级部署，未来可进一步集成双因素认证（如 Google Authenticator）、日志审计、限速策略等功能，以满足更高安全等级的需求，对于网络工程师而言，掌握此类基础技能，是构建现代化网络架构的重要一环。

在 CentOS 7 上搭建安全可靠的 OpenVPN 服务器指南第1张