CentOS 7

CentOS系统中配置OpenVPN服务的完整指南：从安装到客户端连接

在现代企业网络和远程办公环境中,虚拟私人网络（VPN）已成为保障数据安全传输的重要工具，CentOS作为一款稳定、开源且广泛应用于服务器环境的操作系统，是部署OpenVPN服务的理想选择，本文将详细介绍如何在CentOS 7或CentOS 8/9上安装、配置并启动OpenVPN服务，最终实现安全的远程访问。

第一步：准备工作
确保你已拥有一个运行CentOS系统的服务器，并具备root权限，建议使用静态IP地址，以便客户端能够稳定连接，在开始前，请更新系统软件包：

sudo yum update -y

第二步：安装OpenVPN及相关依赖
OpenVPN官方仓库未包含在默认的CentOS源中，因此我们需要添加EPEL源并安装所需软件包：

sudo yum install epel-release -y
sudo yum install openvpn easy-rsa -y

easy-rsa 是用于生成SSL/TLS证书和密钥的工具，是OpenVPN认证机制的核心组件。

第三步：配置证书颁发机构（CA）
OpenVPN基于PKI（公钥基础设施）进行身份验证，因此必须先创建CA证书，复制EasyRSA模板文件：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑 vars 文件，设置国家、省份、组织等信息，

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"
export KEY_OU="IT Department"

接着执行以下命令生成CA证书和私钥：

./clean-all
./build-ca

此时会提示输入Common Name（如“CA”），完成后会在当前目录生成 ca.crt 和 ca.key。

第四步：生成服务器证书和密钥
继续执行：

./build-key-server server

此步骤会要求确认是否信任该证书,输入 yes 并确认 Common Name 为 “server”。

第五步：生成Diffie-Hellman参数
这是用于加密交换的密钥材料，需运行：

./build-dh

第六步：配置OpenVPN服务端
复制配置模板并编辑主配置文件：

cp /usr/share/doc/openvpn-*/sample-config-files/server.conf /etc/openvpn/
nano /etc/openvpn/server.conf

关键修改项包括：

• port 1194：指定端口（可自定义）
• proto udp：推荐使用UDP协议提高性能
• dev tun：创建隧道接口
• ca ca.crt
• cert server.crt
• key server.key
• dh dh.pem
• server 10.8.0.0 255.255.255.0：定义内部IP段
• push "redirect-gateway def1 bypass-dhcp"：让客户端流量通过VPN路由
• push "dhcp-option DNS 8.8.8.8"：指定DNS服务器

第七步：启用IP转发与防火墙规则
编辑 /etc/sysctl.conf，取消注释：

net.ipv4.ip_forward = 1

然后执行：

sysctl -p

配置iptables（CentOS 7）或firewalld（CentOS 8+）允许流量转发：

iptables -A INPUT -p udp --dport 1194 -j ACCEPT
# CentOS 8/9 (firewalld)
firewall-cmd --add-port=1194/udp --permanent
firewall-cmd --add-masquerade --permanent
firewall-cmd --reload

第八步：启动并设置开机自启

systemctl start openvpn@server
systemctl enable openvpn@server

第九步：分发客户端配置
将 ca.crt、client.crt、client.key 复制到客户端设备，并创建 .ovpn 配置文件，内容类似：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1
cipher AES-256-CBC
verb 3

至此,你已在CentOS上成功搭建了OpenVPN服务，用户只需导入配置文件即可安全连接，适用于远程办公、站点间互联等多种场景，注意定期备份证书和密钥，确保网络安全。

半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速