CentOS 7 VPN服务器搭建指南

目录

1. 简介
2. 准备工作
3. 安装OpenVPN
   • 下载OpenVPN软件包
   • 生成SSL证书
   • 配置OpenVPN服务
4. 配置IPSec/L2TP VPN
   • 安装Libreswan
   • 配置IPSec/L2TP VPN
5. 配置PPTP VPN
   • 安装PPTP服务
   • 配置PPTP VPN
6. 测试VPN连接
7. FAQ

简介

CentOS 7 是一款广受欢迎的企业级Linux发行版,作为 Red Hat Enterprise Linux 的社区版本,它拥有稳定、安全、高性能的特点。在企业应用和个人使用中都有广泛应用。

在日常工作或生活中,我们经常需要访问一些受限制的网络资源,例如公司内部系统、海外网站等。这时候就需要使用 VPN(Virtual Private Network) 技术来建立安全的连接隧道,以突破网络限制,安全访问这些资源。

本文将详细介绍如何在 CentOS 7 系统上搭建 OpenVPN、IPSec/L2TP 和 PPTP 三种常见的 VPN 服务,帮助您快速部署自己的 VPN 服务器。

准备工作

在开始搭建 VPN 服务器之前,我们需要准备以下环境:

• CentOS 7 操作系统
• 一个公网 IP 地址
• 管理员权限

CentOS 7 是一款免费开源的企业级 Linux 发行版,它拥有出色的性能、安全性和稳定性。我们将在这个系统上搭建 VPN 服务器。

公网 IP 地址是 VPN 服务器 对外提供服务的必要条件,如果您没有公网 IP,可以考虑使用动态域名服务或者其他方式进行映射。

最后,您需要拥有系统管理员权限,以便安装软件包和配置系统服务。

安装OpenVPN

OpenVPN 是一款开源的、跨平台的 VPN 解决方案,广受欢迎。我们将在 CentOS 7 上安装和配置 OpenVPN 服务。

下载OpenVPN软件包

首先,我们需要安装 OpenVPN 软件包及其依赖项。可以通过 EPEL 源来安装:

bash yum install -y epel-release yum install -y openvpn easy-rsa

生成SSL证书

OpenVPN 使用 SSL/TLS 协议进行加密传输,因此需要生成相应的证书和密钥文件。我们可以使用 easy-rsa 工具来完成这个过程:

bash

cd /usr/share/easy-rsa/

./easyrsa init-pki

./easyrsa build-ca nopass

./easyrsa build-server-full server nopass

./easyrsa build-client-full client1 nopass

证书文件会保存在 /usr/share/easy-rsa/pki 目录下。

配置OpenVPN服务

接下来,我们需要配置 OpenVPN 服务。首先,复制示例配置文件:

bash cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/

然后,编辑 /etc/openvpn/server.conf 文件,进行以下修改:

• 取消注释 dh /etc/openvpn/pki/dh.pem 并指定 Diffie-Hellman 参数文件路径
• 取消注释 ca /etc/openvpn/pki/ca.crt、cert /etc/openvpn/pki/issued/server.crt 和 key /etc/openvpn/pki/private/server.key，并指定证书和密钥文件路径
• 设置 server 10.8.0.0 255.255.255.0 以定义 VPN 客户端 IP 地址池
• 设置 push "redirect-gateway def1 bypass-dhcp" 以将所有流量路由到 VPN 隧道
• 设置 push "dhcp-option DNS 8.8.8.8" 和 push "dhcp-option DNS 8.8.4.4" 以推送 Google 的 DNS 服务器

最后,启动 OpenVPN 服务并设置开机自启:

bash systemctl start openvpn@server systemctl enable openvpn@server

至此,OpenVPN 服务已经成功配置完毕。

配置IPSec/L2TP VPN

除了 OpenVPN,IPSec/L2TP 也是一种常见的 VPN 协议。我们将在 CentOS 7 上安装和配置 IPSec/L2TP VPN 服务。

安装Libreswan

首先,我们需要安装 Libreswan 软件包,它是 IPSec 协议的实现:

bash yum install -y libreswan

配置IPSec/L2TP VPN

接下来,我们需要编辑 /etc/ipsec.conf 文件,添加以下内容:

config setup protostack=netkey nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!192.168.42.0/23 oe=off

conn L2TP-PSK-VPN rightsubnet=vhost:%priv also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT authby=secret pfs=no auto=add keyingtries=3 dpddelay=30 dpdtimeout=120 dpdaction=clear ike=aes256-sha256-modp1024! phase2alg=aes256-sha256-modp1024! type=transport also=shared left=%defaultroute leftid=%defaultroute right=%any rightprotoport=17/1701 rightsubnetwithin=0.0.0.0/0

然后,编辑 /etc/ipsec.secrets 文件,添加 PSK 密钥:

%any %any: PSK “your_ipsec_pre_shared_key”

最后,编辑 /etc/xl2tpd/xl2tpd.conf 文件,添加以下内容:

[global] ipsec saref = yes

[lns default] ip range = 10.0.0.2-10.0.0.254 local ip = 10.0.0.1 require chap = yes refuse pap = yes require authentication = yes name = L2TP/IPSec VPN ppp debug = yes pppoptfile = /etc/ppp/options.xl2tpd length bit = yes

接着,编辑 /etc/ppp/options.xl2tpd 文件,添加以下内容:

ipcp-accept-local ipcp-accept-remote ms-dns 8.8.8.8 ms-dns 8.8.4.4 noccp auth crtscts idle 1800 mtu 1410 mru 1410 nodefaultroute debug proxyarp connect-delay 5000

最后,启动 IPSec 和 L2TP 服务并设置开机自启:

bash systemctl start ipsec systemctl enable ipsec systemctl start xl2tpd systemctl enable xl2tpd

至此,IPSec/L2TP VPN 服务已经成功配置完毕。

配置PPTP VPN

除了 OpenVPN 和 IPSec/L2TP,PPTP 也是一种常见的 VPN 协议。我们将在 CentOS 7 上安装和配置 PPTP VPN 服务。

安装PPTP服务

首先,我们需要安装 PPTP 服务软件包:

bash yum install -y ppp pptpd

配置PPTP VPN

接下来,编辑 /etc/pptpd.conf 文件,进行以下修改:

• 取消注释 option /etc/ppp/pptpd-options 行
• 设置 localip 10.0.0.1 和 remoteip 10.0.0.100-200 以定义 VPN 客户端 IP 地址池

然后,编辑 /etc/ppp/pptpd-options 文件,添加以下内容:

name pptpd refuse-pap refuse-chap refuse-mschap require-mschap-v2 require-mppe-128 ms-dns 8.8.8.8 ms-dns 8.8.4.4 proxyarp lock nobsdcomp novj nologfd

最后,创建 VPN 用户账号:

bash echo “vpnuser1 * 123456789” >> /etc/ppp/chap-secrets

启动 PPTP 服务并设置开机自启:

bash systemctl start pptpd systemctl enable pptpd

至此,PPTP VPN 服务已经成功配置完毕。

测试VPN连接

在完成上述配置后,您可以使用 VPN 客户端软件来测试 VPN 连接。以 Windows 系统为例,您可以直接使用系统自带的 VPN 客户端进行连接。

对于 OpenVPN,您需要导入服务器端生成的客户端证书和密钥文件。对于 IPSec/L2TP,您需要输入 PSK 密钥和 VPN 服务器地址。对于 PPTP,您需要输入 VPN 用户名和密码。

连接成功后,您就可以通过 VPN 隧道访问受限的网络资源了。

FAQ

以下是一些常见问题及解答:

Q: 如何查看VPN服务器的日志?

A: 您可以使用以下命令查看各种 VPN 服务的日志:

• OpenVPN: journalctl -u openvpn@server
• IPSec/L2TP: journalctl -u ipsec 和 journalctl -u xl2tpd
• PPTP: journalctl -u pptpd

Q: 如何管理VPN用户账号?

A: 对于 OpenVPN,您可以使用 easy-rsa 工具来管理客户端证书。对于 IPSec/L2TP 和 PPTP,您可以直接编辑 /etc/ipsec.secrets 和 /etc/ppp/chap-secrets 文件来添加、修改和删除用户账号。

Q: 如何提高VPN服务的安全性?

A: 您可以采取以下措施来提高 VPN 服务的安全性:

• 使用强大的加密算法,如 AES-256
• 启用 Perfect Forward Secrecy (PFS)
• 定期更新 SSL/TLS 证书和 PSK 密钥
• 启用 双因素身份认证
• 限制 VPN 客户端的访问权限

Q: 如何监控VPN服务的使用情况?

A: 您可以使用系统自带的工具,如 iptables、ss 和 tcpdump 等,来监控 VPN 服务的流量和连接情况。您也可以考虑使用第三方监控工具,如 Zabbix 或 Nagios,来更全面地监控 VPN 服务的运行状态。

Q: 如何优化VPN服务的性能?

A: 您可以尝试以下方法来优化 VPN 服务的性能:

• 使用更强大的硬件配置,如 CPU 和 内存
• 调整 VPN 协议和加密算法的