CentOS 7 下搭建安全可靠的 OpenVPN 服务指南

在当今远程办公日益普及的背景下，企业与个人用户对安全、稳定、易用的虚拟私人网络（VPN）需求不断增长，作为一款开源且功能强大的工具，OpenVPN 成为了许多 Linux 系统管理员的首选方案，本文将详细介绍如何在 CentOS 7 系统上搭建一套完整、安全的 OpenVPN 服务,适用于小型企业或家庭办公场景。

确保你的 CentOS 7 系统已安装并更新至最新版本,执行以下命令以确保系统处于最新状态：

sudo yum update -y

安装 EPEL 源和 OpenVPN 软件包：

sudo yum install epel-release -y
sudo yum install openvpn easy-rsa -y

easy-rsa 是用于生成证书和密钥的工具，是 OpenVPN 安全通信的基础。

下一步是配置证书颁发机构（CA），复制默认的 Easy-RSA 配置文件到 /etc/openvpn/easy-rsa/ 目录,并编辑其配置文件以匹配你的环境：

cp -r /usr/share/easy-rsa/3.0/* /etc/openvpn/easy-rsa/
cd /etc/openvpn/easy-rsa/
nano vars

在 vars 文件中设置你的组织名称、国家、省份等信息，

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@example.com"

然后初始化 PKI（公钥基础设施）并生成 CA 证书：

./easyrsa init-pki
./easyrsa build-ca nopass

生成服务器证书和密钥：

./easyrsa gen-req server nopass
./easyrsa sign-req server server

客户端证书的生成方式类似，但需使用 client 作为参数，

./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

准备 OpenVPN 的主配置文件，创建 /etc/openvpn/server.conf如下：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

上述配置定义了 UDP 协议、TUN 模式、IP 地址池为 8.0.0/24,并启用压缩与日志记录。

配置完成后，启动 OpenVPN 服务并设置开机自启：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

确保防火墙允许 UDP 1194 端口通过：

sudo firewall-cmd --add-port=1194/udp --permanent
sudo firewall-cmd --reload

为客户端生成配置文件，客户端需要包含 CA 证书、客户端证书和私钥，你可以将这些文件打包成 .ovpn 文件，供客户端导入使用,一个简单的客户端配置示例：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

至此，你已在 CentOS 7 上成功部署了一个基于 OpenVPN 的安全远程访问服务，该方案具有高安全性（使用 TLS 加密）、良好的可扩展性（支持多客户端），以及灵活的网络策略控制能力，建议定期更新证书、监控日志、限制访问权限,以进一步提升整体安全性。

对于有更高要求的企业用户，还可结合 Fail2Ban、双因素认证（如 Google Authenticator）等增强措施,打造更健壮的远程访问体系。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速