CentOS系统VPN服务器配置全攻略

随着网络技术的发展，VPN（虚拟专用网络）已经成为许多企业和个人保护数据安全和实现远程访问的重要工具，在CentOS系统下配置VPN服务器，可以方便地实现内网访问、数据加密传输等功能，本文将详细介绍如何在CentOS系统下配置VPN服务器，包括所需软件、配置步骤以及注意事项。

所需软件

1、OpenVPN：是一款开源的VPN软件，可以实现跨平台连接。

2、EasyRSA：用于生成RSA密钥对。

3、EasyCA：用于创建CA证书。

4、easy-rsa：一个封装了EasyRSA和EasyCA的简化工具。

配置步骤

1、安装所需软件

sudo yum install openvpn easy-rsa

2、配置EasyRSA

（1）创建easy-rsa目录：

sudo mkdir -p /etc/openvpn/easy-rsa/2.0

（2）将easy-rsa-2.0文件夹中的脚本复制到新创建的easy-rsa目录下：

sudo cp -r /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa/2.0

（3）进入easy-rsa目录：

cd /etc/openvpn/easy-rsa/2.0

（4）修改vars文件，设置CA、服务器、客户端的密钥长度和CA有效期等参数：

sudo vi vars

在文件中找到以下行：

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="Your Company"
export KEY_EMAIL="your_email@example.com"

根据实际情况修改以上参数。

3、生成CA证书和私钥

source ./vars
./clean-all
./build-ca

（1）执行./build-ca命令，根据提示输入CA的详细信息，如国家、省份、城市、组织、电子邮件等。

（2）生成CA证书和私钥：

CA Keys:
  CA            : /etc/openvpn/easy-rsa/2.0/keys/ca.crt
  CA Key        : /etc/openvpn/easy-rsa/2.0/keys/ca.key

4、生成服务器密钥和证书

source ./vars
./build-key-server server

根据提示输入服务器的详细信息，如国家、省份、城市、组织、电子邮件等。

（1）生成服务器密钥和证书：

Server Keys:
  server       : /etc/openvpn/easy-rsa/2.0/keys/server.crt
  server.key   : /etc/openvpn/easy-rsa/2.0/keys/server.key

（2）生成Diffie-Hellman密钥：

./build-dh

生成DH密钥：

DH Parameters:
  dh2048.pem   : /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem

5、生成客户端密钥和证书

source ./vars
./build-key client1

根据提示输入客户端的详细信息，如国家、省份、城市、组织、电子邮件等。

（1）生成客户端密钥和证书：

Client Keys:
  client1      : /etc/openvpn/easy-rsa/2.0/keys/client1.crt
  client1.key  : /etc/openvpn/easy-rsa/2.0/keys/client1.key

6、配置OpenVPN服务器

（1）创建OpenVPN配置文件：

sudo vi /etc/openvpn/server.conf

在文件中添加以下内容：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
max-clients 100
status openvpn-status.log
log /var/log/openvpn.log

（2）设置防火墙规则：

sudo firewall-cmd --zone=public --add-port=1194/udp
sudo firewall-cmd --reload

7、启动OpenVPN服务

sudo systemctl start openvpn@server.service
sudo systemctl enable openvpn@server.service

8、配置客户端连接

（1）将生成的客户端证书和密钥复制到客户端机器。

（2）创建客户端配置文件：

sudo vi /etc/openvpn/client1.ovpn

在文件中添加以下内容：

client
remote your_server_ip 1194
dev tun
proto udp
remote-cert-tls server
ca /path/to/ca.crt
cert /path/to/client1.crt
key /path/to/client1.key
comp-lzo
keepalive 10 120

将your_server_ip替换为服务器的公网IP地址，/path/to/ca.crt、/path/to/client1.crt和/path/to/client1.key替换为客户端证书和密钥的路径。

（3）启动客户端连接：

openvpn --config /etc/openvpn/client1.ovpn

注意事项

1、在配置过程中，请确保服务器和客户端的防火墙规则允许OpenVPN协议的流量通过。

2、为了提高安全性，建议为VPN连接设置强密码。

3、定期更新OpenVPN软件，以修复已知的安全漏洞。

通过以上步骤，您可以在CentOS系统下成功配置VPN服务器，这样，您就可以在任意地点安全地访问内网资源，实现数据加密传输。