在当前远程办公和数据安全日益重要的背景下,为你的CentOS VPS(虚拟专用服务器)搭建一个稳定、安全的OpenVPN服务,已成为许多网络管理员和开发者的基本需求,本文将详细讲解如何在CentOS 7/8系统上部署并配置OpenVPN服务,涵盖环境准备、服务安装、证书生成、防火墙设置及客户端连接等关键步骤,确保你能够快速构建属于自己的私有加密隧道。
第一步:准备工作
确保你的VPS已安装CentOS 7或8操作系统,并具备root权限,登录服务器后,建议先更新系统软件包:
yum update -y
第二步:安装OpenVPN及相关工具
我们使用EPEL源来安装OpenVPN和Easy-RSA(用于证书管理):
yum install epel-release -y yum install openvpn easy-rsa -y
第三步:配置Easy-RSA证书系统
复制Easy-RSA模板到默认路径并初始化:
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa
编辑vars文件,修改以下变量以匹配你的组织信息(如CN=YourCompany, KEY_SIZE=2048):
export KEY_COUNTRY="CN" export KEY_PROVINCE="Beijing" export KEY_CITY="Beijing" export KEY_ORG="MyCompany" export KEY_EMAIL="admin@yourdomain.com" export KEY_CN="server" export KEY_NAME="server" export KEY_ALTNAMES="your_vps_ip_or_domain" export KEY_OU="IT Department"
执行初始化和签名操作:
./clean-all ./build-ca ./build-key-server server ./build-key client1 # 为每个客户端创建唯一证书 ./build-dh
第四步:配置OpenVPN服务端
将证书和密钥复制到OpenVPN目录:
cp -r /etc/openvpn/easy-rsa/keys/* /etc/openvpn/ cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/
编辑/etc/openvpn/server.conf,关键配置包括:
port 1194(可自定义端口)proto udpdev tunca ca.crt,cert server.crt,key server.key,dh dh.pemserver 10.8.0.0 255.255.255.0(分配给客户端的IP段)push "redirect-gateway def1 bypass-dhcp"push "dhcp-option DNS 8.8.8.8"
第五步:启用IP转发与防火墙规则
开启内核IP转发:
echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf sysctl -p
配置firewalld允许UDP端口1194并启用NAT:
firewall-cmd --permanent --add-port=1194/udp firewall-cmd --permanent --add-masquerade firewall-cmd --reload
第六步:启动并设置开机自启
systemctl enable openvpn@server systemctl start openvpn@server
第七步:客户端配置与连接
将client1.crt, client1.key, ca.crt和ta.key(若使用TLS认证)打包发送给客户端,创建.ovpn配置文件,示例:
client
dev tun
proto udp
remote your_vps_ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
verb 3至此,你的CentOS VPS已成功部署OpenVPN服务,客户端可通过该配置文件连接至私有网络,实现加密通信和远程访问,此方案适用于个人用户、小型团队及企业级应用,兼具安全性与灵活性,建议定期更新证书和监控日志以保障长期稳定运行。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
