在企业网络和远程办公场景中,虚拟专用网络(VPN)是保障数据传输安全的重要工具,CentOS 7作为广泛部署的Linux发行版,因其稳定性与成熟生态,成为搭建OpenVPN服务器的理想平台,本文将详细介绍如何在CentOS 7上部署并配置OpenVPN服务,涵盖安装、证书生成、服务器配置、客户端连接及基础安全优化步骤。
第一步:系统准备
确保你的CentOS 7服务器已更新至最新状态,执行以下命令:
sudo yum update -y sudo yum install -y epel-release sudo yum install -y openvpn easy-rsa
Easy-RSA是用于生成PKI(公钥基础设施)证书的工具包,对OpenVPN身份验证至关重要。
第二步:生成证书与密钥
进入Easy-RSA目录并初始化证书颁发机构(CA):
cd /usr/share/easy-rsa/ cp -r /usr/share/easy-rsa/3.0. /etc/openvpn/easy-rsa/ cd /etc/openvpn/easy-rsa/ ./easyrsa init-pki ./easyrsa build-ca nopass
上述命令创建CA根证书,无需密码可简化自动化部署,接下来生成服务器证书和密钥:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
为客户端生成证书:
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
第三步:配置OpenVPN服务器
复制模板文件并编辑主配置:
cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/ vi /etc/openvpn/server.conf
关键配置项包括:
port 1194:指定监听端口(默认UDP)proto udp:使用UDP协议提升性能dev tun:使用TUN模式实现三层隧道ca /etc/openvpn/easy-rsa/pki/ca.crtcert /etc/openvpn/easy-rsa/pki/issued/server.crtkey /etc/openvpn/easy-rsa/pki/private/server.keydh /etc/openvpn/easy-rsa/pki/dh.pem(需先运行./easyrsa gen-dh)
启用IP转发并配置防火墙:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p firewall-cmd --add-port=1194/udp --permanent firewall-cmd --add-masquerade --permanent firewall-cmd --reload
第四步:启动服务与测试
启动OpenVPN服务并设置开机自启:
systemctl enable openvpn@server.service systemctl start openvpn@server.service
客户端可通过.ovpn配置文件连接,包含服务器IP、证书路径和加密参数,建议使用静态IP或DDNS绑定服务器地址。
第五步:安全增强
- 使用强加密算法(如AES-256-CBC)
- 启用TLS认证(
tls-auth /etc/openvpn/easy-rsa/pki/ta.key) - 限制用户访问权限(如通过
client-config-dir分配特定IP) - 定期轮换证书(每6个月更换一次)
通过以上步骤,你可在CentOS 7上成功部署一个安全可靠的OpenVPN服务,该方案适用于小型团队或个人远程接入,若需更高可用性,可结合Keepalived实现双机热备。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
