CentOS 7 VPN 搭建全攻略

目录

1. VPN简介
2. 软件安装
   • 安装OpenVPN
   • 安装Easy-RSA
3. 服务器端配置
   • 生成CA证书
   • 生成服务器端证书
   • 服务器端配置文件
4. 客户端配置
   • 生成客户端证书
   • 客户端配置文件
5. 启动VPN服务
6. FAQ

VPN简介

*VPN(Virtual Private Network)*是一种建立在公共网络上的私有网络,能够提供安全可靠的数据传输通道。VPN通过加密和身份验证技术,将用户的网络通信隧道化,确保数据在传输过程中不会被窃取或篡改。

VPN广泛应用于企业、个人等场景,可以有效保护用户的上网隐私和数据安全。本文将介绍如何在CentOS 7系统上搭建OpenVPN,为您提供一个稳定可靠的VPN服务。

软件安装

安装OpenVPN

OpenVPN是一款开源的VPN软件,广泛应用于各种操作系统。在CentOS 7上安装OpenVPN非常简单,可以直接使用yum包管理器进行安装:

yum install openvpn easy-rsa -y

安装Easy-RSA

Easy-RSA是一个用于管理PKI(Public Key Infrastructure)的工具集,可以帮助我们快速生成CA证书、服务器证书和客户端证书。我们需要安装Easy-RSA来完成VPN服务器端和客户端的证书生成工作:

yum install easy-rsa -y

服务器端配置

生成CA证书

首先,我们需要生成一个根证书颁发机构(CA)证书,用于签发服务器端和客户端的证书:

cd /etc/easy-rsa/

./easyrsa init-pki

./easyrsa build-ca nopass

这个过程中,系统会提示您输入一些基本信息,如国家、州/省、城市等,请根据实际情况填写。完成后,CA证书就生成好了。

生成服务器端证书

接下来,我们需要为VPN服务器生成证书和密钥:

./easyrsa build-server-full server nopass

同样,系统会提示您输入一些信息,请根据实际情况填写。

服务器端配置文件

接下来,我们需要编写OpenVPN的服务器端配置文件。在**/etc/openvpn目录下创建server.conf**文件,并添加以下内容:

local 0.0.0.0 port 1194

proto udp cipher AES-256-CBC auth SHA512

ca /etc/easy-rsa/pki/ca.crt cert /etc/easy-rsa/pki/issued/server.crt key /etc/easy-rsa/pki/private/server.key dh /etc/easy-rsa/pki/dh.pem

server 10.8.0.0 255.255.255.0 push “route 10.8.0.0 255.255.255.0”

client-to-client duplicate-cn keepalive 10 120 comp-lzo persist-key persist-tun status /var/log/openvpn/openvpn-status.log log-append /var/log/openvpn/openvpn.log verb 3

客户端配置

生成客户端证书

接下来,我们需要为每个客户端生成证书和密钥。假设我们要为一个名为”client1″的客户端生成证书:

./easyrsa build-client-full client1 nopass

同样,系统会提示您输入一些信息,请根据实际情况填写。

客户端配置文件

接下来,我们需要编写OpenVPN的客户端配置文件。在客户端计算机上,创建client.ovpn文件,并添加以下内容:

proto udp cipher AES-256-CBC auth SHA512

ca ca.crt cert client1.crt key client1.key

remote your_server_ip 1194

其中,your_server_ip需要替换为VPN服务器的公网IP地址。

启动VPN服务

完成上述配置后,我们就可以启动VPN服务了:

systemctl start openvpn@server

systemctl enable openvpn@server

至此,您的CentOS 7 VPN服务就搭建完成了。您可以将client.ovpn文件分发给需要使用VPN的客户端,让他们连接到VPN服务。

FAQ

1. 如何查看VPN服务的状态和日志?

您可以使用以下命令查看VPN服务的状态和日志:

systemctl status openvpn@server

journalctl -u openvpn@server

2. 如何管理客户端证书?

如果需要撤销某个客户端的证书,可以使用以下命令:

./easyrsa revoke client1 ./easyrsa gen-crl

然后,将更新后的CRL(Certificate Revocation List)文件crl.pem复制到VPN服务器的**/etc/openvpn**目录下。

3. 如何增加客户端数量?

如果需要增加可连接的客户端数量,可以按照”生成客户端证书”和”客户端配置文件”的步骤为新的客户端生成证书和配置文件。

4. 如何修改VPN服务器的监听端口?

如果需要修改VPN服务器的监听端口,可以编辑**/etc/openvpn/server.conf文件,将port 1194**一行修改为您需要的端口号,然后重启OpenVPN服务即可。

5. 如何开启客户端到客户端的通信?

默认情况下,OpenVPN不允许客户端之间进行直接通信。如果需要开启这个功能,可以在**/etc/openvpn/server.conf**文件中添加以下配置:

client-to-client

然后重启OpenVPN服务即可。