在现代企业与个人用户对远程访问和安全通信需求日益增长的背景下,虚拟私人网络(VPN)已成为保障数据传输安全的重要工具,作为网络工程师,掌握高效、稳定、可扩展的VPN部署方案是基本技能之一,本文将详细介绍如何通过Linux系统中的包管理工具YUM(Yellowdog Updater, Modified),快速搭建OpenVPN服务,适用于CentOS/RHEL等主流RPM发行版。
确保你的服务器已安装并配置好基础环境,推荐使用CentOS 7或8(或Rocky Linux/AlmaLinux),这些系统默认集成YUM包管理器,登录服务器后,执行以下命令更新系统软件包:
sudo yum update -y
安装OpenVPN及相关依赖组件,OpenVPN本身并不包含完整的证书管理工具,因此我们还需安装Easy-RSA用于生成SSL/TLS证书,执行如下命令:
sudo yum install -y openvpn easy-rsa
安装完成后,复制Easy-RSA模板到指定目录(通常为/etc/openvpn/easy-rsa),并初始化证书颁发机构(CA):
make-cadir /etc/openvpn/easy-rsa cd /etc/openvpn/easy-rsa cp vars.example vars
编辑vars文件,根据实际需求修改如下参数:
KEY_COUNTRY="CN"KEY_PROVINCE="Beijing"KEY_CITY="Beijing"KEY_ORG="MyCompany"KEY_EMAIL="admin@mycompany.com"
保存后,执行以下命令生成CA证书和密钥:
./clean-all ./build-ca
接着生成服务器证书和密钥(按提示输入相关信息):
./build-key-server server
然后生成客户端证书(如需多个客户端,可重复此步骤):
./build-key client1
最后生成Diffie-Hellman参数和TLS密钥(增强安全性):
./build-dh openvpn --genkey --secret ta.key
完成证书生成后,复制所有关键文件到OpenVPN配置目录:
sudo cp /etc/openvpn/easy-rsa/keys/{ca.crt,server.crt,server.key,ta.key,dh2048.pem} /etc/openvpn/
现在配置OpenVPN服务主文件,创建 /etc/openvpn/server.conf示例如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3启动并启用OpenVPN服务:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
配置防火墙允许UDP 1194端口(若使用firewalld):
sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --reload
至此,一个基于YUM安装的OpenVPN服务已成功部署,客户端只需获取client1.crt、client1.key、ca.crt和ta.key,并使用OpenVPN客户端导入配置文件即可连接,该方案适合中小型组织快速构建私有安全通道,且易于维护和扩展,作为网络工程师,熟练掌握此类自动化部署流程,能显著提升运维效率和安全性。
半仙加速器-海外加速器 | VPN加速器 | VPN翻墙加速器 | VPN梯子 | VPN外网加速
