CentOS 7 VPN服务器搭建全攻略

在CentOS 7环境下搭建VPN服务，本文详细介绍了整个过程，包括安装必要的软件包、配置服务器、设置用户认证以及优化性能等步骤。从安装OpenVPN开始，逐步完成配置文件编辑、防火墙规则设置、客户端连接，确保VPN服务的稳定和安全运行。

所需软件

为了搭建VPN服务，我们需要以下软件：

1、OpenVPN：一款开源的VPN客户端与服务端软件，支持多种加密协议，配置简便。

2、EasyRSA：一个轻量级的RSA密钥生成工具，用于生成服务器和客户端的数字证书。

3、EasyRSA-pki：EasyRSA的配套工具，用于管理OpenVPN的CA（证书颁发机构）。

安装软件

我们需要在CentOS 7上安装OpenVPN和EasyRSA。

sudo yum install openvpn easy-rsa

EasyRSA通常包含在OpenVPN的安装包中，因此无需单独安装。

配置CA

我们需要配置CA（证书颁发机构）。

1、生成CA私钥：

sudo easy-rsa/init-pki.sh

2、生成CA证书：

sudo easy-rsa/gen-ca.sh

3、设置CA证书信息：

sudo vi /etc/openvpn/easy-rsa/openssl.cnf

在文件中找到[ v3_ca ] 部分，将basicConstraints = CA:FALSE 修改为basicConstraints = CA:TRUE。

4、生成CA证书：

sudo easy-rsa/gen-certificate.sh

配置服务器

我们来配置VPN服务器。

1、生成服务器私钥和证书：

sudo easy-rsa/gen-dh.sh
sudo easy-rsa/gen-key.sh --subject "/CN=server"
sudo easy-rsa/gen-certificate.sh

2、配置服务器配置文件：

sudo vi /etc/openvpn/server.conf

在配置文件中设置以下参数：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
keepalive 10 120
user nobody
group nogroup
status openvpn-status.log
log /var/log/openvpn.log

3、启动OpenVPN服务：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

配置客户端

配置VPN客户端。

1、生成客户端私钥和证书：

sudo easy-rsa/gen-key.sh --subject "/CN=client"
sudo easy-rsa/gen-certificate.sh

2、生成客户端配置文件：

sudo vi /etc/openvpn/client.ovpn

在配置文件中设置以下参数：

client
dev tun
proto udp
remote server_ip 1194
resolv-retry infinite
nobind
ca /path/to/ca.crt
cert /path/to/client.crt
key /path/to/client.key
cipher AES-256-CBC

3、启动VPN客户端：

openvpn /path/to/client.ovpn

注意事项

1、确保服务器和客户端的网络环境可以互相访问。

2、将客户端配置文件中的server_ip 替换为服务器的公网IP地址。

3、如需通过SSH连接服务器，请在客户端配置文件中添加auth-user-pass /path/to/username.txt 参数，并创建一个包含用户名和密码的文本文件。

4、为了提升安全性，建议定期更新CA证书、服务器证书和客户端证书。

通过上述步骤，您便可以在CentOS 7系统上成功搭建VPN服务，希望本文能为您的网络安全提供有力支持！