在当前企业网络架构中,远程访问内网资源已成为刚需,尤其是当办公环境分散、员工需频繁接入公司私有网络时,使用虚拟专用网络(VPN)成为最安全、高效的解决方案之一,本文将详细介绍如何在CentOS Linux系统上部署OpenVPN服务,并将其配置为监听809端口,以满足特定网络策略或防火墙限制下的安全远程访问需求。
确保你的CentOS系统已更新至最新版本(推荐使用CentOS Stream或CentOS 7/8),通过SSH连接到服务器后,执行以下命令安装必要的软件包:
sudo yum update -y sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
安装完成后,需要生成证书和密钥对,这是OpenVPN身份认证的基础,进入EasyRSA目录并初始化PKI(公钥基础设施):
cd /usr/share/easy-rsa/ sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/ sudo mkdir -p /etc/openvpn/keys sudo make-cadir /etc/openvpn/keys cd /etc/openvpn/keys sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass
接下来生成服务器证书和密钥:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
同时为客户端生成证书(可批量生成多个客户端证书):
sudo ./easyrsa gen-req client1 nopass sudo ./easyrsa sign-req client client1
证书生成完毕后,复制相关文件到OpenVPN配置目录:
sudo cp /etc/openvpn/keys/ca.crt /etc/openvpn/ sudo cp /etc/openvpn/keys/server.crt /etc/openvpn/ sudo cp /etc/openvpn/keys/server.key /etc/openvpn/ sudo cp /etc/openvpn/keys/dh2048.pem /etc/openvpn/
现在关键步骤来了——修改OpenVPN服务器配置文件 /etc/openvpn/server.conf,将默认端口从1194改为809,这在某些ISP或云服务商限制非标准端口的情况下非常实用,且809端口常用于Web服务,不易被误判为恶意流量:
port 809 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh2048.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log verb 3
保存配置文件后,启动OpenVPN服务并设置开机自启:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
若你使用的是防火墙(如firewalld),还需开放809端口:
sudo firewall-cmd --permanent --add-port=809/udp sudo firewall-cmd --reload
将客户端配置文件(client.ovpn)分发给用户,内容包括服务器IP、端口、证书路径等信息,客户端只需导入该文件即可连接,实现加密隧道访问内部网络资源。
通过以上步骤,我们成功在CentOS Linux环境中构建了一个运行在809端口的OpenVPN服务,这种配置不仅符合现代网络安全规范,还具备良好的兼容性和稳定性,特别适合在严格网络策略下部署的企业级远程访问场景,建议定期更新证书、监控日志,并结合Fail2Ban等工具增强安全性。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
