CentOS系统下搭建OpenVPN服务，从零开始配置企业级安全远程访问方案

在当前数字化转型加速的背景下，企业对远程办公和安全访问的需求日益增长，CentOS作为一款稳定、安全且广泛应用于服务器环境的操作系统，是搭建虚拟私人网络（VPN）服务的理想平台之一，本文将详细介绍如何在CentOS 7或CentOS 8系统中部署OpenVPN服务，实现安全、可靠的远程访问功能,适用于中小型企业或开发者团队的内网穿透与远程管理场景。

第一步：准备工作
确保你有一台运行CentOS 7/8的服务器（推荐使用最小化安装版本），并具备公网IP地址，登录服务器后，首先更新系统包：

sudo yum update -y

随后安装EPEL源（用于获取OpenVPN等额外软件包）：

sudo yum install epel-release -y

第二步：安装OpenVPN及相关组件
使用yum安装OpenVPN、Easy-RSA（用于证书管理）和iptables防火墙工具：

sudo yum install openvpn easy-rsa -y

复制Easy-RSA模板到/etc/openvpn目录，并初始化PKI（公钥基础设施）：

make-cadir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

这里我们跳过密码保护，便于自动化部署,但在生产环境中建议设置强密码。

第三步：生成服务器和客户端证书
为服务器生成证书：

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

为客户端生成证书（每个客户端都需要一个独立证书）：

sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

生成Diffie-Hellman密钥交换参数（增强安全性）：

sudo ./easyrsa gen-dh

第四步：配置OpenVPN服务器
复制示例配置文件：

sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/

编辑配置文件 /etc/openvpn/server.conf，关键配置项如下：

• port 1194：指定OpenVPN监听端口（可自定义）
• proto udp：使用UDP协议提升性能
• dev tun：创建TUN设备，适合点对点通信
• ca /etc/openvpn/easy-rsa/pki/ca.crt：CA证书路径
• cert /etc/openvpn/easy-rsa/pki/issued/server.crt：服务器证书
• key /etc/openvpn/easy-rsa/pki/private/server.key：服务器私钥
• dh /etc/openvpn/easy-rsa/pki/dh.pem：DH参数
• server 10.8.0.0 255.255.255.0：分配给客户端的IP段
• push "redirect-gateway def1 bypass-dhcp"：强制客户端流量走VPN隧道
• push "dhcp-option DNS 8.8.8.8"：推送DNS服务器

第五步：启用IP转发和防火墙规则
编辑 /etc/sysctl.conf，取消注释以下行以启用IP转发：

net.ipv4.ip_forward = 1

执行命令使配置生效：

sudo sysctl -p

配置iptables规则：

sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

保存规则：

sudo service iptables save

第六步：启动服务并测试
启动OpenVPN服务：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

客户端可通过OpenVPN图形客户端导入证书和配置文件连接，访问内网资源时将自动加密传输，实现“如同本地访问”的体验。

通过以上步骤，你可以在CentOS上成功搭建一个功能完整的OpenVPN服务器，为企业提供安全、灵活的远程访问解决方案，此方案具备高扩展性，可根据需求添加多用户认证、日志审计等功能,是IT运维和网络安全实践中的经典案例。

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速