首页 / vpn加速器 / CentOS VPS配置OpenVPN服务完整指南，从零开始搭建安全远程访问通道

CentOS VPS配置OpenVPN服务完整指南，从零开始搭建安全远程访问通道

khdsff1 2026-05-22 3 0

在当前网络环境日益复杂的背景下，企业或个人用户对安全、稳定、可控的远程访问需求不断增长，尤其是使用CentOS作为VPS（虚拟专用服务器）操作系统时，通过部署OpenVPN可以快速构建一个加密的点对点通信隧道，实现跨地域的安全访问内网资源或办公系统，本文将详细介绍如何在CentOS 7/8或更高版本的VPS上从零开始配置OpenVPN服务，涵盖安装、证书生成、服务配置、防火墙设置及客户端连接步骤。

第一步：准备工作
确保你的VPS已成功部署并可SSH登录，建议使用root账户或具有sudo权限的用户执行以下操作,更新系统包列表：

yum update -y

第二步：安装OpenVPN及相关工具
OpenVPN依赖Easy-RSA来管理SSL/TLS证书,因此需要先安装这些组件：

yum install epel-release -y
yum install openvpn easy-rsa -y

安装完成后，复制默认的Easy-RSA模板到本地目录：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

第三步：配置CA证书和服务器证书
编辑vars文件（位于/etc/openvpn/easy-rsa/）,根据实际需求修改如下参数：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"
export KEY_CN=server
export KEY_NAME=server
export KEY_ALTNAMES="server.mycompany.com"

运行初始化脚本并生成根证书（CA）：

./clean-all
./build-ca

接着生成服务器证书和密钥：

./build-key-server server

最后生成客户端证书（每个客户端都需要独立证书）：

./build-key client1

同时生成Diffie-Hellman密钥交换参数（这一步耗时较长，但非常重要）：

./build-dh

第四步：配置OpenVPN服务端
创建OpenVPN主配置文件 /etc/openvpn/server.conf如下：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

此配置启用UDP协议、TUN模式、自动分配IP段（10.8.0.0/24）、强制客户端流量经由VPN路由,并推送DNS解析地址。

第五步：启用IP转发与防火墙规则
编辑/etc/sysctl.conf,取消注释：

net.ipv4.ip_forward = 1

应用更改：

sysctl -p

配置iptables规则（以CentOS 7为例）：

firewall-cmd --permanent --add-port=1194/udp
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

如果使用firewalld,也可直接用命令添加。

第六步：启动OpenVPN服务

systemctl enable openvpn@server
systemctl start openvpn@server
systemctl status openvpn@server

第七步：客户端配置
将CA证书、客户端证书、私钥打包成.ovpn文件,示例配置如下：

client
dev tun
proto udp
remote your-vps-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

客户端可使用OpenVPN GUI（Windows）或Linux命令行工具进行连接。

通过上述步骤，你可以在CentOS VPS上成功部署OpenVPN服务，实现安全可靠的远程接入，该方案适用于小型团队、远程办公、数据传输加密等多种场景，注意定期备份证书、更新配置，并监控日志以保障服务稳定性，对于生产环境，建议结合Fail2Ban防止暴力破解，并考虑使用Let's Encrypt等免费证书替代自签名CA以增强信任链。

CentOS VPS配置OpenVPN服务完整指南，从零开始搭建安全远程访问通道第1张