如何在CentOS上配置OpenVPN以实现安全的远程访问？-HCRM博客

在CentOS系统上搭建OpenVPN服务，需要完成以下几个步骤：

环境准备

1、关闭防火墙和SELinux：

（图片来源网络，侵权删除）

确保防火墙和SELinux不会影响OpenVPN的正常运行。

执行以下命令来关闭它们：

```bash

systemctl stop firewalld

systemctl disable firewalld

sed i 's/^SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

（图片来源网络，侵权删除）

setenforce 0

```

2、安装依赖软件包：

OpenVPN依赖于一些基础的软件包，如OpenSSL等，确保这些软件包已安装：

```bash

yum install y epelrelease

（图片来源网络，侵权删除）

yum install y openvpn easyrsa openssl wget tar gcc make

```

生成证书和密钥

1、下载并安装EasyRSA：

EasyRSA是一个简化OpenVPN证书管理的工具，下载并解压EasyRSA：

```bash

wget O /etc/openvpn/easyrsa.tgz HTTPS://github.com/OpenVPN/easyrsa/releases/download/v3.0.8/EasyRSA3.0.8.tgz

tar xzf /etc/openvpn/easyrsa.tgz C /etc/openvpn/

```

2、配置EasyRSA：

复制示例变量文件并进行编辑：

```bash

cp /etc/openvpn/easyrsa/3.0.8/vars ./vars

vim vars

```

修改文件中的参数以符合你的需求，

```ini

set_var EASYRSA_REQ_COUNTRY "CN"

set_var EASYRSA_REQ_PROVINCE "Beijing"

set_var EASYRSA_REQ_CITY "Shanghai"

set_var EASYRSA_REQ_ORG "MyOrg"

set_var EASYRSA_REQ_EMAIL "admin@example.com"

set_var EASYRSA_REQ_OU "MyOU"

```

3、初始化PKI目录：

```bash

cd /etc/openvpn/easyrsa/3.0.8

./easyrsa initpki

```

4、生成根证书：

```bash

./easyrsa buildca

```

按照提示输入相关信息和密码。

5、生成服务器证书和私钥：

```bash

./easyrsa genreq server nopass

./easyrsa signreq server server

```

6、生成DiffieHellman参数文件：

```bash

./easyrsa gendh

```

7、生成客户端证书和私钥：

```bash

./easyrsa genreq client nopass

./easyrsa signreq client client

```

8、生成TLS认证密钥：

```bash

openvpn genkey secret /etc/openvpn/ta.key

```

9、将生成的证书和密钥文件复制到指定位置：

```bash

cp /etc/openvpn/easyrsa/3.0.8/pki/ca.crt /etc/openvpn/ca.crt

cp /etc/openvpn/easyrsa/3.0.8/pki/private/server.key /etc/openvpn/server.key

cp /etc/openvpn/easyrsa/3.0.8/pki/issued/server.crt /etc/openvpn/server.crt

cp /etc/openvpn/easyrsa/3.0.8/pki/dh.pem /etc/openvpn/dh.pem

cp /etc/openvpn/easyrsa/3.0.8/ta.key /etc/openvpn/ta.key

```

配置OpenVPN服务器

1、创建OpenVPN配置文件：

复制OpenVPN提供的示例配置文件并进行编辑：

```bash

cp /usr/share/doc/openvpn2.4.8/sample/sampleconfigfiles/server.conf.gz /etc/openvpn/server.conf.gz

gunzip /etc/openvpn/server.conf.gz

vim /etc/openvpn/server.conf

```

根据需求修改配置文件，

```ini

port 1194

protocol tcp

dev tun

ca /etc/openvpn/ca.crt

cert /etc/openvpn/server.crt

key /etc/openvpn/server.key

dh /etc/openvpn/dh.pem

server 10.8.0.0 255.255.255.0

ifconfigpoolpersist ipp.txt

push "redirectgateway def1 bypassdhcp"

push "dhcpoption DNS 114.114.114.114"

keepalive 10 120

tlsauth /etc/openvpn/ta.key 0 # This file is secret

user nobody

group nogroup

persistkey

persisttun

status openvpnstatus.log

logappend /var/log/openvpn.log

verb 4

```

2、启动并启用OpenVPN服务：

```bash

systemctl start openvpn@server

systemctl enable openvpn@server

```

配置OpenVPN客户端

1、复制客户端配置文件：

从OpenVPN安装目录中复制客户端配置文件并进行编辑：

```bash

cp /usr/share/doc/openvpn2.4.8/sample/sampleconfigfiles/client.ovpn /etc/openvpn/client.ovpn

vim /etc/openvpn/client.ovpn

```

根据需求修改配置文件，

```ini

client

remote <服务器IP> 1194

protocol tcp

resolvretry infinite

nobind

user nobody

group nogroup

persistkey

persisttun

ca /etc/openvpn/ca.crt

cert /etc/openvpn/client.crt

key /etc/openvpn/client.key

tlsauth /etc/openvpn/ta.key 1

cipher AES256CBC

auth SHA256

complzo

verb 4

```

2、启动并启用OpenVPN客户端服务：

```bash

systemctl start openvpn@client

systemctl enable openvpn@client

```

常见问题与解决方案

问题	描述	解决方案
无法连接	客户端无法连接到OpenVPN服务器	检查服务器和客户端的证书和密钥是否正确匹配，以及服务器是否开放了相应的端口。
性能问题	VPN连接速度慢或不稳定	尝试更改加密算法或调整MTU设置，以优化性能。
日志查看	如何查看OpenVPN的运行日志	使用`journalctl u openvpn`命令查看OpenVPN服务的日志。
防火墙规则	如何配置防火墙以允许OpenVPN流量	添加防火墙规则以允许OpenVPN使用的端口（默认为1194）和协议（TCP或UDP）。
客户端配置	如何在不同平台上配置OpenVPN客户端	根据不同平台的指南进行配置，确保客户端软件与服务器设置兼容。
安全性	如何增强OpenVPN的安全性	使用强加密算法，定期更新证书和密钥，限制访问权限，并监控日志以检测潜在的安全威胁。
路由设置	如何设置客户端的网络路由	在OpenVPN服务器上配置路由表，以确保客户端能够访问内部网络资源。
多实例部署	如何在一台服务器上运行多个OpenVPN实例	为每个实例创建独立的配置文件和证书，确保端口号不冲突，并分别启动和管理每个实例。
性能监控	如何监控OpenVPN的性能和带宽使用情况	使用内置的性能监控工具或第三方软件来跟踪VPN连接的状态和性能指标。
兼容性测试	如何测试不同设备和操作系统之间的兼容性	在不同的设备和操作系统上安装OpenVPN客户端，并进行连接测试以验证兼容性。
故障排除	如何诊断和解决连接问题	检查日志文件以获取错误信息，根据错误提示进行相应的配置调整或网络排查。
自动重连	如何设置客户端在断开后自动重连	在客户端配置文件中设置`keepalive`选项，并确保服务器端也启用了相应的设置。
用户管理	如何管理多个用户接入	使用不同的客户端证书和密钥对每个用户进行身份验证，通过服务器配置来控制用户的访问权限。
负载均衡	如何在多台服务器之间实现负载均衡	配置多个OpenVPN服务器实例，并使用负载均衡器（如HAProxy）来分发客户端连接请求。
高可用性	如何确保VPN的高可用性和故障切换	配置主备服务器架构，当主服务器出现故障时，自动切换到备用服务器以维持服务连续性。
审计日志	如何记录和审计VPN活动	配置详细的日志记录选项，并定期审查日志文件以监控可疑活动和未授权的访问尝试。
移动设备支持	如何在移动设备上配置和使用OpenVPN	在移动设备的应用商店中下载适用于iOS或Android的OpenVPN客户端应用，并按照服务器配置进行连接设置。
远程管理	如何远程管理和监控OpenVPN服务器	使用SSH连接到服务器，或者配置Web界面的管理工具（如果可用）来远程管理OpenVPN服务。