CentOS VPN 客户端

CentOS 作为一个流行的 Linux 发行版，广泛应用于服务器和桌面环境，为了实现安全、稳定的远程访问，VPN（虚拟专用网络）技术在 CentOS 上得到了广泛应用，VPN 不仅可以保障数据传输的安全性，还可以突破地理限制，访问内网资源，本文将详细介绍如何在 CentOS 系统上配置和使用 VPN 客户端。

VPN 客户端的安装与配置

OpenVPN 客户端安装

1、更新系统包管理器：

   sudo yum update y

2、安装 EPEL 仓库：

   sudo yum install epelrelease y

3、安装 OpenVPN 及相关依赖：

   sudo yum install openvpn easyrsa y

4、生成并配置证书和密钥：

首先创建一个目录用于存放 EasyRSA 文件：

     mkdir p ~/openvpnca
     cp r /usr/share/easyrsa/3/* ~/openvpnca/
     cd ~/openvpnca

初始化 PKI：

     ./easyrsa initpki

生成 CA 证书：

     ./easyrsa buildca

生成服务器证书和密钥：

     ./easyrsa buildserverfull server nopass

生成 DiffieHellman 参数：

     ./easyrsa gendh

为客户端生成证书和密钥（client1）：

     ./easyrsa buildclientfull client1 nopass

5、复制证书和密钥到 OpenVPN 配置目录：

   sudo mkdir p /etc/openvpn/server
   sudo cp pki/ca.crt pki/issued/server.crt pki/private/server.key pki/dh.pem /etc/openvpn/server
   sudo mkdir p ~/clientconfigs/keys
   cp pki/ca.crt pki/issued/client1.crt pki/private/client1.key ~/clientconfigs/keys/

6、生成 ta.key 文件：

   sudo openvpn genkey secret /etc/openvpn/server/ta.key

7、配置 OpenVPN 服务器：

复制默认配置文件并进行修改：

     sudo cp /usr/share/doc/openvpn*/sample/sampleconfigfiles/server.conf /etc/openvpn/server/server.conf

编辑/etc/openvpn/server/server.conf 文件，修改以下关键参数：

     port 1194
     proto udp
     dev tun
     ca ca.crt
     cert server.crt
     key server.key
     dh dh.pem
     server 10.8.0.0 255.255.255.0
     ifconfigpoolpersist ipp.txt
     push "redirectgateway def1 bypassdhcp"
     push "dhcpoption DNS 208.67.222.222"
     push "dhcpoption DNS 208.67.220.220"
     duplicatecn
     keepalive 10 120
     tlscrypt ta.key
     cipher AES256GCM
     auth SHA256
     persistkey
     persisttun
     status /var/log/openvpn/openvpnstatus.log
     verb 3
     explicitexitnotify 1

8、配置防火墙：

   sudo systemctl enable firewalld
   sudo systemctl start firewalld
   sudo firewallcmd zone=public addservice=openvpn permanent
   sudo firewallcmd zone=public addmasquerade permanent
   sudo firewallcmd reload

9、启动 OpenVPN 服务：

   sudo systemctl start openvpnserver@server
   sudo systemctl enable openvpnserver@server

OpenVPN 客户端配置

1、准备客户端配置文件：

创建客户端配置文件client1.ovpn如下：

   client
   dev tun
   proto udp
   remote YOUR_SERVER_IP 1194
   resolvretry infinite
   nobind
   user nobody
   group nobody
   persistkey
   persisttun
   remotecerttls server
   cipher AES256GCM
   auth SHA256
   keydirection 1
   verb 4

2、导入证书和密钥：

将服务器生成的ca.crt、client1.crt、client1.key 复制到客户端，并确保客户端可以访问这些文件。

3、启动 OpenVPN 客户端：

   sudo openvpn config client1.ovpn authuserpass /etc/openvpn/passwd &

4、检查连接状态：

   tail f /var/log/openvpn.log

常见问题及解答（FAQs）

Q1: 如何更改 VPN 服务器的 IP 地址？

A1: 要更改 VPN 服务器的 IP 地址，需要编辑 OpenVPN 服务器的配置文件（例如/etc/openvpn/server.conf），将其中的server 指令后面的 IP 地址更改为新的 IP 地址，然后重新启动 OpenVPN 服务以使更改生效，确保客户端配置文件中的远程地址也指向新的 IP 地址。

Q2: 忘记预共享密钥怎么办？

A2: 如果忘记了预共享密钥，需要重新配置 OpenVPN 服务器以生成新的预共享密钥，删除或注释掉现有的预共享密钥条目，然后添加新的条目，之后，重新启动 OpenVPN 服务以应用更改，这将导致所有使用旧预共享密钥的连接失效，直到它们也被更新为止，对于客户端，需要更新其配置文件以使用新的预共享密钥。