在当今远程办公日益普及的时代,企业或个人用户对安全、稳定的虚拟私人网络(VPN)需求激增,CentOS 7作为一款长期支持(LTS)的Linux发行版,因其稳定性和广泛的应用场景,成为搭建VPN服务的理想平台,本文将详细介绍如何在CentOS 7系统中安装并配置OpenVPN,实现一个可信赖的远程访问解决方案。
确保你已准备一台运行CentOS 7的服务器,并具备root权限或sudo权限,建议使用最小化安装版本以减少不必要的软件包干扰,登录服务器后,执行以下步骤:
第一步:更新系统并安装必要的依赖包
sudo yum update -y sudo yum install -y epel-release sudo yum install -y openvpn easy-rsa
第二步:配置OpenVPN服务器
OpenVPN默认配置文件位于 /etc/openvpn/ 目录下,我们需要先复制示例配置文件:
sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/ sudo nano /etc/openvpn/server.conf
打开配置文件后,根据实际网络环境进行关键参数调整。
port 1194:指定端口号(默认UDP 1194,可根据防火墙策略修改)proto udp:选择协议(UDP性能优于TCP)dev tun:创建TUN设备用于点对点隧道ca /etc/openvpn/easy-rsa/pki/ca.crt:CA证书路径cert /etc/openvpn/easy-rsa/pki/issued/server.crt:服务器证书key /etc/openvpn/easy-rsa/pki/private/server.key:私钥dh /etc/openvpn/easy-rsa/pki/dh.pem:Diffie-Hellman参数
第三步:生成SSL/TLS证书和密钥
使用Easy-RSA工具生成PKI(公钥基础设施):
cd /etc/openvpn/easy-rsa/ sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-dh sudo cp pki/dh.pem /etc/openvpn/
第四步:启用IP转发与配置防火墙
编辑 /etc/sysctl.conf 文件,取消注释以下行以启用IP转发:
net.ipv4.ip_forward = 1
应用更改:
sudo sysctl -p
配置firewalld允许OpenVPN流量:
sudo firewall-cmd --permanent --add-port=1194/udp sudo firewall-cmd --permanent --add-service=ssh sudo firewall-cmd --reload
第五步:启动并设置开机自启
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
第六步:客户端配置与分发
为每个用户生成客户端证书:
sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
将以下文件打包发送给客户端:
- ca.crt(根证书)
- client1.crt(客户端证书)
- client1.key(客户端私钥)
客户端配置文件(如client.ovpn)应包含:
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key完成上述步骤后,客户端即可连接到你的OpenVPN服务器,此方案不仅适用于家庭办公,也适合小型企业部署,具有良好的安全性、灵活性和可扩展性,记住定期更新证书和补丁,是维护网络安全的关键,通过以上步骤,你将在CentOS 7上成功搭建一个功能完整的OpenVPN服务,为远程访问提供可靠保障。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
