在当前远程办公和分布式团队日益普及的背景下,企业对安全、稳定的远程访问需求愈发强烈,OpenVPN作为一款开源、跨平台且高度可定制的虚拟私人网络(VPN)解决方案,成为许多IT管理员的首选,本文将以CentOS 7/8为例,详细介绍如何在Linux服务器上部署并配置OpenVPN服务,为企业提供安全、可靠的远程接入通道。
第一步:准备工作
确保你有一台运行CentOS系统的服务器(建议使用最小化安装),具备公网IP地址,并已配置好防火墙(firewalld或iptables),我们以CentOS 7为例,执行以下命令更新系统:
sudo yum update -y
第二步:安装OpenVPN及相关工具
OpenVPN官方仓库未包含在默认软件源中,需先添加EPEL仓库:
sudo yum install epel-release -y sudo yum install openvpn easy-rsa -y
easy-rsa是用于生成SSL/TLS证书和密钥的工具包,是OpenVPN认证体系的核心组件。
第三步:配置CA证书与服务器证书
进入EasyRSA目录并初始化PKI环境:
cd /usr/share/easy-rsa/ sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/ cd /etc/openvpn/ sudo make-cadir ./easy-rsa cd ./easy-rsa/ sudo sed -i 's/^set_var EASYRSA_ALGO rsa/set_var EASYRSA_ALGO ec/' vars sudo sed -i 's/^set_var EASYRSA_KEY_SIZE 2048/set_var EASYRSA_KEY_SIZE 256/' vars
接着生成CA证书:
sudo ./easyrsa init-pki sudo ./easyrsa build-ca nopass
然后生成服务器证书和密钥:
sudo ./easyrsa gen-req server nopass sudo ./easyrsa sign-req server server
最后生成Diffie-Hellman参数(用于加密协商):
sudo ./easyrsa gen-dh
第四步:配置OpenVPN服务端
创建主配置文件 /etc/openvpn/server.conf如下(可根据实际网络调整):
port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/pki/ca.crt cert /etc/openvpn/easy-rsa/pki/issued/server.crt key /etc/openvpn/easy-rsa/pki/private/server.key dh /etc/openvpn/easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status /var/log/openvpn-status.log verb 3
第五步:启用IP转发与防火墙规则
编辑 /etc/sysctl.conf,取消注释以下行以启用IP转发:
net.ipv4.ip_forward = 1
应用更改:
sudo sysctl -p
配置firewalld放行OpenVPN端口(UDP 1194)并设置NAT规则:
sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --add-masquerade --permanent sudo firewall-cmd --reload
第六步:启动服务并测试客户端连接
启动OpenVPN服务:
sudo systemctl enable openvpn@server sudo systemctl start openvpn@server
为客户端生成证书(可在服务器上用easyrsa gen-req client1 nopass生成,再签名),并将ca.crt、client1.crt、client1.key打包分发给用户。
客户端配置文件示例(保存为.ovpn文件):
client dev tun proto udp remote your-server-ip 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client1.crt key client1.key comp-lzo verb 3
用户只需将此配置导入OpenVPN客户端(如Windows版OpenVPN GUI),即可实现安全远程访问内网资源。
通过以上步骤,你可以在CentOS上成功搭建一个基于TLS认证、支持多用户接入的企业级OpenVPN服务,该方案不仅满足基本远程办公需求,还可结合LDAP、双因素认证等扩展功能,进一步提升安全性与管理效率,对于中小型企业而言,这是一个成本低、易维护的理想选择。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
