作为网络工程师,我经常遇到企业或个人用户需要在Linux服务器(尤其是CentOS)上部署虚拟私人网络(VPN)的需求,无论是远程办公、跨地域访问内网资源,还是保障数据传输的安全性,一个稳定高效的VPN解决方案都是关键,本文将详细介绍如何在CentOS 7/8系统中使用OpenVPN搭建安全的点对点VPN服务,并涵盖常见问题排查与性能优化建议。
确保你拥有一个干净的CentOS服务器(推荐CentOS Stream或CentOS 7/8),并具备root权限,安装前建议更新系统软件包:
sudo yum update -y
我们通过官方仓库安装OpenVPN及相关依赖:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
OpenVPN的核心组件包括服务端配置文件、证书管理系统(Easy-RSA)和客户端配置模板,我们先生成PKI(公钥基础设施)密钥对:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
这些命令会创建服务器证书、客户端证书和CA根证书,注意,nopass选项表示不设置密码,适合自动化部署场景;若需更高安全性,可移除该参数并在启动时手动输入密码。
复制证书到OpenVPN目录并配置服务端主文件 /etc/openvpn/server.conf:
cp /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/ cp /etc/openvpn/easy-rsa/pki/issued/server.crt /etc/openvpn/ cp /etc/openvpn/easy-rsa/pki/private/server.key /etc/openvpn/ cp /etc/openvpn/easy-rsa/pki/issued/client1.crt /etc/openvpn/ cp /etc/openvpn/easy-rsa/pki/private/client1.key /etc/openvpn/
编辑 server.conf 文件,至少包含以下关键配置项:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3server 10.8.0.0 255.255.255.0 定义了内部IP段,push "redirect-gateway" 使客户端流量全部走隧道,实现“全流量加密”,启用IP转发以支持NAT:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
配置防火墙规则(使用firewalld):
firewall-cmd --add-port=1194/udp --permanent firewall-cmd --add-masquerade --permanent firewall-cmd --reload
启动服务并设为开机自启:
systemctl enable openvpn@server systemctl start openvpn@server
客户端配置可通过导出的证书(client1.crt、client1.key、ca.crt)和连接信息(如服务器IP地址)制作 .ovpn 文件,典型客户端配置如下:
client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3至此,一个基础但功能完整的OpenVPN服务已在CentOS上运行,实际部署中还需考虑日志监控、证书轮换策略、DDoS防护及带宽限制等高级配置,可结合fail2ban防止暴力破解,或使用cgroups限制单个客户端带宽。
在CentOS上搭建OpenVPN不仅技术成熟可靠,而且社区支持丰富,掌握这一技能,意味着你能为企业构建一条安全、灵活、可控的远程接入通道。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
