在现代企业与个人用户对安全远程访问需求日益增长的背景下,虚拟私人网络(VPN)已成为不可或缺的技术工具,作为网络工程师,掌握如何高效部署和配置VPN服务是基本技能之一,本文将以Linux系统为基础,介绍如何通过YUM包管理器快速搭建OpenVPN服务,适用于CentOS/RHEL等主流发行版,帮助你从零开始构建一个稳定、安全的私有VPN环境。
确保你的服务器已安装并更新至最新版本的YUM仓库,执行以下命令:
sudo yum update -y
安装OpenVPN及其依赖组件,OpenVPN是一个开源的SSL/TLS协议实现,支持多种认证方式(如用户名密码、证书、双因素认证),非常适合用于构建企业级或个人隐私保护网络,运行以下命令安装核心软件包:
sudo yum install openvpn easy-rsa -y
easy-rsa 是用于生成证书和密钥的工具,是OpenVPN安全通信的基础,安装完成后,进入EasyRSA目录初始化证书颁发机构(CA):
cd /usr/share/easy-rsa/ sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsa/ cd /etc/openvpn/easy-rsa/ sudo make-cadir ./openvpn-ca cd ./openvpn-ca
编辑 vars 文件,设置你的组织信息(如国家、省份、公司名等),这将用于后续证书签名,修改后运行:
sudo ./clean-all sudo ./build-ca
这会生成CA证书(ca.crt)和私钥(ca.key),随后创建服务器证书:
sudo ./build-key-server server
客户端证书同样需要生成,每个客户端可单独创建,
sudo ./build-key client1
所有证书和密钥生成后,复制到OpenVPN配置目录:
sudo cp /etc/openvpn/easy-rsa/openvpn-ca/keys/{ca.crt,server.crt,server.key,ca.key} /etc/openvpn/
然后创建主配置文件 /etc/openvpn/server.conf示例如下:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3注意:你需要先运行 sudo ./build-dh 生成Diffie-Hellman参数文件(dh.pem),才能启用压缩和加密功能。
配置完成后,启动OpenVPN服务并设置开机自启:
sudo systemctl start openvpn@server sudo systemctl enable openvpn@server
确保防火墙允许UDP端口1194通过(如使用firewalld):
sudo firewall-cmd --add-port=1194/udp --permanent sudo firewall-cmd --reload
至此,一个基于YUM的OpenVPN服务已成功搭建,你可以为客户端生成配置文件(client.ovpn),并通过OpenVPN GUI或命令行连接,此方案具备部署快、维护易、安全性高的优点,特别适合中小型企业快速建立安全远程办公通道,定期更新证书、监控日志、加强防火墙策略,是保障VPN长期稳定运行的关键。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
