5154

在CentOS系统上安装VPN服务可以提供安全的网络连接和隐私保护，以下是详细的安装步骤和注意事项,帮助您顺利完成配置。

系统准备与更新

在开始安装之前，确保您的CentOS系统已经更新到最新状态，打开终端,执行以下命令更新系统包：

sudo yum update -y

更新完成后，检查系统版本以确保兼容性，CentOS 7和CentOS 8的VPN配置略有不同，本文以CentOS 7为例进行说明，确保系统时间已同步，可以使用ntpdate命令同步时间：

sudo yum install ntp -y
sudo ntpdate pool.ntp.org

安装必要的依赖包

VPN服务需要一些基础依赖包支持,使用以下命令安装：

sudo yum install -y epel-release wget curl tar iptables-services

epel-release提供了额外的软件源，wget和curl用于下载文件，iptables-services用于防火墙配置。

选择VPN协议并安装服务

常见的VPN协议包括PPTP、L2TP/IPsec、OpenVPN和WireGuard，这里以OpenVPN为例，介绍安装步骤,下载EPEL源中的OpenVPN包：

sudo yum install -y openvpn easy-rsa

安装完成后,创建配置目录并复制示例配置文件：

sudo mkdir -p /etc/openvpn/server
sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/server/

生成证书和密钥

VPN服务需要SSL证书和密钥来加密数据,使用以下命令生成证书：

cd /etc/openvpn/easy-rsa/3.0.8/
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass
sudo ./easyrsa gen-dh
sudo ./easyrsa build-server-full server nopass
sudo openvpn --genkey --secret pki/ta.key

将生成的证书文件复制到OpenVPN配置目录：

sudo cp pki/ca.crt pki/issued/server.crt pki/private/server.key pki/dh.pem pki/ta.key /etc/openvpn/server/

配置OpenVPN服务

编辑OpenVPN配置文件：

sudo nano /etc/openvpn/server/server.conf

根据需要修改以下参数：

• port 1194：默认端口，可自定义
• proto udp：协议选择UDP或TCP
• dev tun：虚拟网卡类型
• ca ca.crt：证书路径
• cert server.crt：服务器证书
• key server.key：私钥路径
• dh dh.pem：DH参数文件
• server 10.8.0.0 255.255.255.0：VPN客户端IP段
• push "redirect-gateway def1 bypass-dhcp"：默认路由
• push "dhcp-option DNS 8.8.8.8"：DNS服务器
• keepalive 10 120：保持连接设置
• user nobody和group nogroup：运行用户
• persist-key和persist-tun：保持连接

配置完成后保存文件并退出。

配置防火墙和SELinux

确保防火墙允许VPN流量,执行以下命令：

sudo firewall-cmd --permanent --add-port=1194/udp
sudo firewall-cmd --permanent --add-service=ipsec
sudo firewall-cmd --permanent --add-masquerade
sudo firewall-cmd --reload

如果启用了SELinux,需要安装相关策略：

sudo yum install -y policycoreutils-python
sudo semanage port -a -t openvpn_port_t -p udp 1194

启动并启用OpenVPN服务

使用以下命令启动服务并设置开机自启：

sudo systemctl start openvpn-server@server
sudo systemctl enable openvpn-server@server

检查服务状态：

sudo systemctl status openvpn-server@server

客户端配置文件生成

创建客户端配置文件目录：

sudo mkdir -p /etc/openvpn/client

下载客户端配置模板：

sudo wget -O /etc/openvpn/client/client.conf https://example.com/client-template.conf

编辑客户端配置文件,添加以下内容：

client
dev tun
proto udp
remote your_server_ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
comp-lzo no
verb 3
<ca>
$(cat /etc/openvpn/server/ca.crt)
</ca>
<cert>
$(cat /etc/openvpn/server/pki/issued/server.crt)
</cert>
<key>
$(cat /etc/openvpn/server/pki/private/server.key)
</key>

将配置文件传输到客户端设备,使用OpenVPN客户端导入即可连接。

常见问题排查

如果连接失败,检查以下几点：

1. 防火墙和SELinux设置是否正确
2. 证书和密钥路径是否正确
3. 服务器防火墙是否放行1194端口
4. 客户端配置文件是否与服务器匹配

---

FAQs

Q1: 如何确认VPN服务是否正常运行？
A1: 使用以下命令检查服务状态：

sudo systemctl status openvpn-server@server

如果显示“active (running)”，则表示服务正常运行,可以通过客户端连接测试是否能成功获取VPN分配的IP地址。

Q2: 连接VPN后无法上网怎么办？
A2: 首先检查服务器防火墙是否启用了IP转发：

cat /proc/sys/net/ipv4/ip_forward

如果输出为0,需要修改配置：

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

然后确保防火墙的NAT规则已正确配置：

sudo firewall-cmd --permanent --add-masquerade
sudo firewall-cmd --reload