在Centos 7系统上安装和配置OpenVPN,可以确保公司外部员工安全地访问内部办公网络,以下是详细的步骤和配置指南:
环境准备
| 项目 | 说明 |
| 服务器系统 | CentOS Linux release 7.9.2009 (Core) |
| OpenVPN版本 | 2.5.6 |
| EasyRSA版本 | 3.0.8 |
| 外网IP | 124.70.49.106 |
| 内网IP | 192.168.0.155 |
| 测试服务器IP | 192.168.0.21 |
| 客户端网段 | 172.16.16.0/24 |
安装步骤
1. 准备工作
(图片来源网络,侵权删除)
- 关闭防火墙
- systemctl stop firewalld
- systemctl disable firewalld
- 关闭SELinux
- sed i 's/enforcing/disabled/' /etc/selinux/config
- setenforce 0
- 安装依赖包
- yum install y vim wget lrzsz gccc++ openssl openssldevel nettools lzo lzodevel pam pamdevel
- 下载并安装OpenVPN和EasyRSA
- mkdir /tmp/install
- cd /tmp/install
- wget https://swupdate.openvpn.org/community/releases/openvpn2.5.6.tar.gz
- wget https://github.com/OpenVPN/easyrsa/releases/download/v3.0.8/EasyRSA3.0.8.tgz
2. 安装OpenVPN和EasyRSA
- 解压缩文件
- tar zxvf openvpn2.5.6.tar.gz
- tar zxvf EasyRSA3.0.8.tgz
- 编译并安装OpenVPN
- cd openvpn2.5.6
- ./configure prefix=/data/openvpn/
- make && make install
- 添加环境变量
- echo e "PATH=\$PATH:/data/openvpn/sbin" > /etc/profile.d/openvpn256.sh
- source /etc/profile
- 检查是否成功安装
- openvpn version
3. 服务端配置
- 创建CA签发机构环境
- cp r /data/EasyRSA /data/openvpn/easyrsaserver
- cd /data/openvpn/easyrsaserver
- 准备默认变量文件
- egrep v "^$|^#" vars.example > vars
- vim vars # 设置CA证书有效期为100年,服务器证书为10年
- set_var EASYRSA_CA_EXPIRE 36500
- set_var EASYRSA_CERT_EXPIRE 3650
- 创建CA机构和服务端证书
- ./easyrsa initpki
- ./easyrsa buildca nopass # 使用nopass表示不需要密码
- ./easyrsa genreq openvpnserver nopass
生成TLS认证密钥及配置文件
- 生成TLS认证密钥
- openvpn genkey secret /etc/openvpn/ta.key
- 创建配置文件
- cat <<EOF > /etc/openvpn/server.conf
- port 1194
- proto udp
- dev tun
- ca ca.crt
- cert server.crt
- key server.key
- dh dh.pem
- server 10.8.0.0 255.255.255.0
- ifconfigpoolpersist ipp.txt
- keepalive 10 120
- maxclients 10
- status openvpnstatus.log
- verb 3
- EOF
启动服务端并配置防火墙与流量转发
- 启动OpenVPN服务并设为开机启动
- systemctl start openvpn@server
- systemctl enable openvpn@server
- 配置防火墙与流量转发
- firewallcmd permanent addservice openvpn
- firewallcmd permanent addmasquerade
- firewallcmd reload
- sysctl w net.ipv4.ip_forward=1
相关问答FAQs
Q1: OpenVPN连接后无法访问内网资源怎么办?
A1: 确保在OpenVPN的配置文件中正确设置了路由推送(push "route ..."),并且客户端机器的网关设置正确,可以使用ping命令测试连通性,如果问题依旧,检查防火墙和路由表设置。
Q2: 如何生成客户端证书?
A2: 在服务端执行以下命令生成客户端证书:
(图片来源网络,侵权删除)
- cd /data/openvpn/easyrsaserver
- ./easyrsa genreq client nopass
- ./easyrsa sign client client
将生成的客户端证书(client.crt和client.key)发送给客户端进行配置。
(图片来源网络,侵权删除)
