首页 / VPN翻墙 / CentOS系统中配置OpenVPN服务的完整指南，从安装到客户端连接

CentOS系统中配置OpenVPN服务的完整指南，从安装到客户端连接

khdsff1 2026-05-20 4 0

在现代企业网络和远程办公环境中，虚拟私人网络（VPN）已成为保障数据安全传输的重要工具，CentOS作为一款稳定、开源且广泛应用于服务器环境的操作系统，是部署OpenVPN服务的理想选择，本文将详细介绍如何在CentOS 7或CentOS 8/9上安装、配置并启动OpenVPN服务,最终实现安全的远程访问。

第一步：准备工作
确保你的CentOS主机具备公网IP地址，并已开启防火墙端口（如UDP 1194），建议使用root用户或具有sudo权限的用户执行以下操作,首先更新系统软件包：

sudo yum update -y

第二步：安装OpenVPN及相关工具
OpenVPN官方仓库可能未包含最新版本，推荐使用EPEL源安装,执行以下命令：

sudo yum install epel-release -y
sudo yum install openvpn easy-rsa -y

easy-rsa 是用于生成SSL/TLS证书和密钥的工具集，是构建PKI（公钥基础设施）的核心组件。

第三步：配置证书颁发机构（CA）
进入EasyRSA目录并初始化PKI：

cd /usr/share/easy-rsa/
sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/
cd /etc/openvpn/
sudo make-cadir ./easy-rsa
cd ./easy-rsa/
sudo sed -i 's/#set_var EASYRSA_ALGO rsa/set_var EASYRSA_ALGO rsa/' vars
sudo sed -i 's/#set_var EASYRSA_KEY_SIZE 2048/set_var EASYRSA_KEY_SIZE 2048/' vars

接下来生成CA证书：

sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

第四步：生成服务器和客户端证书
生成服务器证书（注意替换“server”为实际主机名）：

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

生成客户端证书（例如客户端名为client1）：

sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

第五步：配置OpenVPN服务器
复制示例配置文件并编辑：

sudo cp /usr/share/doc/openvpn/sample-config-files/server.conf /etc/openvpn/
sudo nano /etc/openvpn/server.conf

关键配置项如下（可根据网络环境调整）：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"

第六步：启用IP转发与防火墙规则
编辑 /etc/sysctl.conf 启用IP转发：

net.ipv4.ip_forward = 1

应用更改：

sudo sysctl -p

配置iptables允许流量通过：

sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo service iptables save

第七步：启动OpenVPN服务

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

第八步：客户端配置
将生成的CA证书、客户端证书、私钥和配置文件打包发送给客户端，创建一个 .ovpn 文件,内容包括：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
verb 3

在Windows或Linux客户端上导入该文件即可连接。

通过以上步骤，你已在CentOS上成功搭建了一个基于OpenVPN的安全隧道，该方案适合中小型企业或个人用户，既经济又灵活,能有效保护远程访问过程中的数据隐私与完整性。

CentOS系统中配置OpenVPN服务的完整指南，从安装到客户端连接第1张