CentOS系统下搭建OpenVPN服务的完整指南，从环境准备到客户端配置详解

在当前企业网络架构中,虚拟专用网络（VPN）已成为远程办公、跨地域访问和安全通信的重要手段，对于运行CentOS操作系统的服务器用户而言，OpenVPN是一个功能强大且开源的解决方案，能够实现端到端加密的远程连接，本文将详细讲解如何在CentOS 7/8或更高版本上部署并配置OpenVPN服务，包括安装、证书生成、服务器配置、防火墙设置以及客户端连接步骤。

确保你有一台已安装CentOS的操作系统,并具备root权限或sudo权限，建议使用最小化安装以减少潜在风险，登录服务器后，更新系统包列表：

sudo yum update -y

安装EPEL源（Extra Packages for Enterprise Linux），因为OpenVPN的依赖包可能不在默认仓库中：

sudo yum install epel-release -y

安装OpenVPN及相关工具：

sudo yum install openvpn easy-rsa -y

Easy-RSA是用于生成SSL/TLS证书的工具，它是OpenVPN认证机制的核心，复制Easy-RSA模板到/etc/openvpn目录：

sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/
sudo chown -R root:root /etc/openvpn/easy-rsa/

进入Easy-RSA目录，编辑vars文件，设置证书签名参数（如国家、组织名称等）：

cd /etc/openvpn/easy-rsa/
nano vars

示例）：

• export KEY_COUNTRY="CN"
• export KEY_PROVINCE="Beijing"
• export KEY_CITY="Beijing"
• export KEY_ORG="MyCompany"
• export KEY_EMAIL="admin@mycompany.com"

保存后,初始化PKI密钥库：

./easyrsa init-pki

生成CA证书（根证书）：

./easyrsa build-ca nopass

生成服务器证书：

./easyrsa gen-req server nopass
./easyrsa sign-req server server

生成客户端证书（每个用户一个）：

./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

生成Diffie-Hellman参数和TLS密钥（增强安全性）：

./easyrsa gen-dh
openvpn --genkey --secret ta.key

配置OpenVPN服务器,创建主配置文件 /etc/openvpn/server.conf，参考以下基本配置：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
tls-auth /etc/openvpn/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

启用IP转发（允许数据包通过服务器路由）：

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf
sysctl -p

配置防火墙（firewalld）开放UDP端口1194：

sudo firewall-cmd --add-port=1194/udp --permanent
sudo firewall-cmd --reload

启动并启用OpenVPN服务：

sudo systemctl enable openvpn@server
sudo systemctl start openvpn@server

至此,服务器端配置完成，客户端需下载服务器证书（ca.crt）、客户端证书（client1.crt）、私钥（client1.key）及ta.key，组合成.ovpn配置文件后导入OpenVPN客户端软件即可连接。

此方案适用于小型团队或个人远程办公场景,若需大规模部署，建议结合LDAP认证或集成Radius服务器以提升管理效率。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速