CentOS系统下搭建OpenVPN服务完整指南，从安装到客户端配置详解

在企业网络部署和远程办公日益普及的今天，虚拟私人网络（VPN）已成为保障数据安全传输的重要工具，CentOS作为一款稳定、开源的Linux发行版，广泛应用于服务器环境中，本文将详细介绍如何在CentOS 7/8系统上安装并配置OpenVPN服务,实现安全可靠的远程访问功能。

确保你拥有一个运行CentOS的服务器，并具备root权限或sudo权限，我们以CentOS 7为例进行演示,过程适用于大多数基于RPM包管理系统的版本。

第一步：更新系统并安装必要依赖
执行以下命令更新系统软件包：

sudo yum update -y

接着安装EPEL仓库（用于获取更多软件包）：

sudo yum install epel-release -y

然后安装OpenVPN及相关工具：

sudo yum install openvpn easy-rsa -y

第二步：配置证书颁发机构（CA）
OpenVPN使用SSL/TLS加密，因此需要建立自己的CA来签发证书，复制Easy-RSA模板到默认路径：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

编辑vars文件，设置国家、组织等信息：

nano vars

修改以下变量（可根据实际填写）：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"

生成CA证书：

./clean-all
./build-ca

此时会提示输入CA名称,直接回车即可。

第三步：生成服务器证书与密钥
执行以下命令生成服务器证书和密钥：

./build-key-server server

按照提示输入相关信息,最后确认是否签署证书。

第四步：生成客户端证书
为每个客户端单独生成证书,例如为名为client1的用户创建：

./build-key client1

第五步：生成Diffie-Hellman参数
这是TLS握手过程中使用的密钥交换参数：

./build-dh

第六步：配置OpenVPN服务端
复制示例配置文件：

cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/

编辑配置文件：

nano /etc/openvpn/server.conf

关键配置项包括：

• port 1194：指定监听端口（可改为其他端口）
• proto udp：推荐使用UDP协议
• dev tun：使用隧道模式
• ca /etc/openvpn/easy-rsa/ca.crt
• cert /etc/openvpn/easy-rsa/keys/server.crt
• key /etc/openvpn/easy-rsa/keys/server.key
• dh /etc/openvpn/easy-rsa/keys/dh2048.pem

第七步：启用IP转发与防火墙规则
开启内核IP转发功能：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

配置iptables规则允许流量转发：

sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

保存iptables规则：

service iptables save

第八步：启动服务并设置开机自启

systemctl enable openvpn@server
systemctl start openvpn@server

第九步：客户端配置
将服务器端生成的ca.crt、client1.crt、client1.key文件打包发送给客户端，客户端配置文件（如client.ovpn）应包含：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key

至此，你已成功在CentOS上搭建了一个安全、稳定的OpenVPN服务，此方案适用于小型团队或个人用户，若需更高安全性，建议结合证书吊销列表（CRL）、双因素认证或使用OpenVPN Access Server等商业解决方案，记住定期备份证书和配置文件,是运维工作中不可忽视的一环。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速