centos下OpenVPN 安装使用

封面图 • 2025-09-15 • Linux

在 CentOS 下安装和配置 OpenVPN 是一个常见的任务，以下是详细的步骤说明：

### 1. 准备工作

确保你的系统是最新的：
```bash
sudo yum update -y
```

安装必要的依赖包：
```bash
sudo yum install epel-release -y
sudo yum install openvpn easy-rsa -y
```

### 2. 创建 CA 和证书

1. 创建目录结构：
   ```bash
   sudo mkdir /etc/openvpn/easy-rsa
   ```

2. 复制 EasyRSA 文件到该目录：
   ```bash
   cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
   ```

3. 初始化 PKI（Public Key Infrastructure）：
   ```bash
   cd /etc/openvpn/easy-rsa
   ./easyrsa init-pki
   ```

4. 构建 CA（Certificate Authority）：
   ```bash
   ./easyrsa build-ca
   ```
   按提示输入 CA 的密码和信息。

5. 生成服务器证书和密钥：
   ```bash
   ./easyrsa gen-req server nopass
   ```
   这里 `nopass` 表示不设置密码，你可以根据需要选择是否设置密码。

6. 签发服务器证书：
   ```bash
   ./easyrsa sign-req server server
   ```
   输入 `yes` 来确认签发。

7. 生成 Diffie-Hellman 参数：
   ```bash
   ./easyrsa gen-dh
   ```

8. 生成 TLS 密钥（可选但推荐）：
   ```bash
   openvpn --genkey --secret ta.key
   ```

9. 将生成的文件复制到 OpenVPN 配置目录：
   ```bash
   sudo cp pki/ca.crt pki/private/server.key pki/issued/server.crt /etc/openvpn/
   sudo cp pki/dh.pem ta.key /etc/openvpn/
   ```

### 3. 配置 OpenVPN 服务

1. 创建 OpenVPN 配置文件：
   ```bash
   sudo nano /etc/openvpn/server.conf
   ```

2. 在配置文件中添加以下内容：
   ```plaintext
   port 1194
   proto udp
   dev tun
   ca ca.crt
   cert server.crt
   key server.key
   dh dh.pem
   tls-auth ta.key 0
   cipher AES-256-CBC
   auth SHA256
   keepalive 10 120
   persist-key
   persist-tun
   status openvpn-status.log
   verb 3
   ```

3. 启用 IP 转发：
   ```bash
   echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
   sudo sysctl -p
   ```

4. 配置防火墙规则：
   允许 UDP 流量通过 1194 端口：
   ```bash
   sudo firewall-cmd --permanent --add-port=1194/udp
   sudo firewall-cmd --reload
   ```

5. 启动 OpenVPN 服务：
   ```bash
   sudo systemctl start openvpn@server
   ```

6. 设置开机自启：
   ```bash
   sudo systemctl enable openvpn@server
   ```

### 4. 客户端配置

1. 创建客户端配置文件：
   ```bash
   sudo cp /usr/share/doc/openvpn/sample-config/client.conf /etc/openvpn/client.ovpn
   ```

2. 编辑客户端配置文件：
   ```bash
   sudo nano /etc/openvpn/client.ovpn
   ```

3. 修改以下内容：
   ```plaintext
   remote your-server-ip 1194
   ca ca.crt
   cert client.crt
   key client.key
   tls-auth ta.key 1
   cipher AES-256-CBC
   auth SHA256
   ```

4. 将生成的客户端证书和密钥复制到客户端：
   ```bash
   sudo cp pki/issued/client.crt pki/private/client.key /path/to/client/
   sudo cp ta.key /path/to/client/
   sudo cp ca.crt /path/to/client/
   ```

5. 启动客户端 OpenVPN：
   ```bash
   openvpn --config /path/to/client/client.ovpn
   ```

### 5. 测试连接

确保客户端能够成功连接到服务器。你可以通过访问一些外部网站来测试网络是否正常。

### 总结

以上就是在 CentOS 下安装和配置 OpenVPN 的详细步骤。通过这些步骤，你应该能够成功设置一个基本的 OpenVPN 服务器，并让客户端连接到它。如果有任何问题，请检查日志文件以获取更多信息。