HCRM博客

CentOS系统上安装与配置OpenVPN教程

在CentOS系统上搭建安全高效的PenVPN:详细步骤与实用建议

虚拟专用网络(VPN)已成为保护网络隐私、实现远程访问的重要工具,对于需要自主管理服务器的用户,基于CentOS系统搭建PenVPN(OpenVPN)是一个可靠的选择,本文将提供清晰的部署流程,并融入安全性优化建议,帮助用户快速构建稳定、加密的私有网络环境。

CentOS系统上安装与配置OpenVPN教程-图1
(图片来源网络,侵权删除)

**环境准备与依赖安装

1、更新系统与安装基础工具

确保系统处于最新状态,避免安全漏洞:

   yum update -y && yum install -y epel-release wget

2、安装OpenVPN与Easy-RSA

OpenVPN是开源VPN解决方案的核心,Easy-RSA用于证书管理:

   yum install -y openvpn easy-rsa

**证书颁发机构(CA)配置

1、初始化PKI目录

复制Easy-RSA模板至工作目录,并生成CA证书:

CentOS系统上安装与配置OpenVPN教程-图2
(图片来源网络,侵权删除)
   mkdir -p /etc/openvpn/easy-rsa/  
   cp -rf /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/  
   cd /etc/openvpn/easy-rsa  
   ./easyrsa init-pki

2、构建CA与服务器证书

生成CA根证书(需自定义Common Name等信息):

   ./easyrsa build-ca nopass  
   ./easyrsa build-server-full server nopass

完成后,将生成的server.crtserver.keyca.crt复制到/etc/openvpn/server/

**OpenVPN服务端配置

1、生成加密参数与配置文件

生成Diffie-Hellman密钥交换文件:

   ./easyrsa gen-dh  
   openvpn --genkey secret ta.key

复制ta.keypki/dh.pem/etc/openvpn/server/

CentOS系统上安装与配置OpenVPN教程-图3
(图片来源网络,侵权删除)

2、编辑服务端配置文件

创建/etc/openvpn/server.conf,参考以下核心参数:

   port 1194  
   proto udp  
   dev tun  
   ca /etc/openvpn/server/ca.crt  
   cert /etc/openvpn/server/server.crt  
   key /etc/openvpn/server/server.key  
   dh /etc/openvpn/server/dh.pem  
   server 10.8.0.0 255.255.255.0  
   push "redirect-gateway def1 bypass-dhcp"  
   push "dhcp-option DNS 8.8.8.8"  
   keepalive 10 120  
   tls-auth /etc/openvpn/server/ta.key 0  
   cipher AES-256-CBC  
   user nobody  
   group nobody  
   persist-key  
   persist-tun  
   status /var/log/openvpn-status.log  
   verb 3

**网络与防火墙设置

1、启用IP转发

修改/etc/sysctl.conf,取消注释net.ipv4.ip_forward=1,执行:

   sysctl -p

2、配置Firewalld规则

允许OpenVPN端口与NAT转发:

   firewall-cmd --permanent --add-port=1194/udp  
   firewall-cmd --permanent --add-masquerade  
   firewall-cmd --reload

**客户端连接与测试

1、生成客户端证书

返回Easy-RSA目录,为客户端生成证书(例如用户client1):

   ./easyrsa build-client-full client1 nopass

导出.ovpn配置文件,需包含证书、密钥及服务端IP。

2、启动服务与验证状态

   systemctl start openvpn@server  
   systemctl enable openvpn@server

通过ip addr show tun0检查虚拟接口是否正常分配IP。

**安全性增强建议

启用双因素认证:结合TOTP工具(如Google Authenticator)提升登录验证强度。

限制证书有效期:定期轮换客户端证书,避免长期使用同一密钥。

日志监控:通过journalctl -u openvpn@server实时跟踪连接状态,防范异常访问。

个人观点:自建VPN虽赋予用户完全控制权,但维护成本与安全责任并存,建议定期审计证书、更新OpenVPN版本,并搭配防火墙规则限制访问IP范围,若需高可用性,可考虑多节点负载均衡架构,避免单点故障影响服务连续性。

本站部分图片及内容来源网络,版权归原作者所有,转载目的为传递知识,不代表本站立场。若侵权或违规联系Email:zjx77377423@163.com 核实后第一时间删除。 转载请注明出处:https://blog.huochengrm.cn/pc/28780.html

分享:
扫描分享到社交APP
上一篇
下一篇