CentOS系统下VPN服务器搭建与详细配置手册

本文为CentOS VPN服务器搭建与配置指南，详细介绍了如何使用OpenVPN搭建VPN服务器，包括安装、配置、优化及安全设置等步骤，帮助读者快速搭建并配置自己的CentOS VPN服务器。

准备工作

在开始搭建VPN服务器之前，您需要准备以下条件：

1、硬件环境：一台拥有公网IP地址的CentOS服务器。

2、软件环境：推荐使用CentOS 7操作系统，并确保服务器内存至少为2GB。

3、软件包：安装OpenVPN、EasyRSA、EasyRSA-CN、iptables等软件包。

搭建步骤

1. 安装软件包

登录到您的CentOS服务器，执行以下命令安装必要的软件包：

sudo yum install openvpn easy-rsa net-tools

2. 配置EasyRSA

EasyRSA是一款用于生成OpenVPN证书的工具，创建EasyRSA的工作目录，并将相关文件复制到该目录：

sudo mkdir /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
sudo cp -r /usr/share/easy-rsa/2.0/* .

编辑vars文件，修改以下信息：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Zhejiang"
export KEY_CITY="Hangzhou"
export KEY_ORG="Your Company"
export KEYORG="Your Company"

3. 生成CA证书

运行以下命令生成CA证书：

./clean-all
./build-ca

根据提示填写相关信息，完成后，您将在/etc/openvpn/easy-rsa/keys目录下找到ca.crt、ca.key等文件。

4. 生成服务器证书和私钥

执行以下命令生成服务器证书和私钥：

./clean-all
./build-key-server server

根据提示填写相关信息，完成后，您将在/etc/openvpn/easy-rsa/keys目录下找到server.crt、server.key等文件。

5. 生成客户端证书和私钥

为每个客户端生成证书和私钥：

./clean-all
./build-key client1
./build-key client2
...

根据提示填写相关信息，完成后，您将在/etc/openvpn/easy-rsa/keys目录下找到对应客户端的证书和私钥。

6. 配置OpenVPN

将以下配置保存为/etc/openvpn/server.conf：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
user nobody
group nogroup
max-clients 100
status openvpn-status.log
log-append openvpn.log
tls-auth ta.key 0
key-direction 1

7. 生成TLS密钥

运行以下命令生成TLS密钥：

openvpn --genkey --secret ta.key

8. 配置防火墙

打开防火墙的UDP 1194端口：

sudo iptables -A INPUT -p udp --dport 1194 -j ACCEPT
sudo iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
sudo iptables -A FORWARD -d 10.8.0.0/24 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

9. 启动OpenVPN服务

启动OpenVPN服务：

sudo systemctl start openvpn@server.service

10. 客户端连接

将生成的客户端证书和私钥复制到客户端设备，在客户端安装OpenVPN客户端软件，并在客户端的OpenVPN配置文件中填写以下内容：

proto udp
remote server_ip 1194
resolv-retry infinite
nobind
dev tun
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1

server_ip为服务器的公网IP地址。

通过以上步骤，您就可以在CentOS系统中搭建并配置VPN服务器了，这将有助于您实现安全地远程访问企业内部网络，确保数据传输的安全性，希望本文对您有所帮助。