CentOS 7.7 部署 OpenVPN（下）

在上一篇文章中，我們介紹了如何在 CentOS 7.7 上安裝 OpenVPN 的基本步驟。這一部分將深入探討如何配置 OpenVPN 伺服器，並確保其安全性和穩定性。

配置 OpenVPN 伺服器

在安裝完 OpenVPN 之後，接下來需要進行伺服器的配置。以下是一些關鍵步驟：

1. 編輯伺服器配置文件

OpenVPN 的主要配置文件位於 /etc/openvpn/server.conf。使用以下命令打開該文件：

sudo vi /etc/openvpn/server.conf

在文件中，您需要設置以下幾個重要參數：

• port 1194：指定 OpenVPN 伺服器的端口。
• proto udp：選擇使用 UDP 協議。
• dev tun：設置虛擬網路介面。
• ca ca.crt：指定 CA 憑證的路徑。
• cert server.crt：指定伺服器憑證的路徑。
• key server.key：指定伺服器私鑰的路徑。
• dh dh.pem：指定 Diffie-Hellman 參數的路徑。
• server 10.8.0.0 255.255.255.0：設置 VPN 的 IP 地址範圍。
• push "redirect-gateway def1 bypass-dhcp"：將所有流量通過 VPN。
• push "dhcp-option DNS 8.8.8.8"：設置 DNS 伺服器。
• keepalive 10 120：設置心跳檢查。
• comp-lzo：啟用壓縮。
• persist-key 和 persist-tun：保持密鑰和虛擬介面。
• user nobody 和 group nogroup：以低權限用戶運行 OpenVPN。
• status openvpn-status.log：設置狀態日誌。
• verb 3：設置日誌詳細程度。

2. 啟用 IP 轉發

為了讓 VPN 客戶端能夠訪問外部網絡，您需要啟用 IP 轉發。編輯 /etc/sysctl.conf 文件，取消註釋以下行：

net.ipv4.ip_forward = 1

然後運行以下命令以使更改生效：

sudo sysctl -p

3. 配置防火牆

使用 firewalld 來配置防火牆，允許 OpenVPN 的流量。運行以下命令：

sudo firewall-cmd --permanent --add-port=1194/udp

sudo firewall-cmd --permanent --add-masquerade

sudo firewall-cmd --reload

4. 啟動 OpenVPN 伺服器

完成配置後，啟動 OpenVPN 伺服器並設置為開機自啟：

sudo systemctl start openvpn@server

sudo systemctl enable openvpn@server

客戶端配置

在伺服器配置完成後，您需要為客戶端生成配置文件。首先，生成客戶端憑證和密鑰：

cd /etc/openvpn/easy-rsa/

./easyrsa build-client-full client1 nopass

然後，創建客戶端配置文件 client.ovpn，內容如下：

client
dev tun
proto udp
remote YOUR_SERVER_IP 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
key-direction 1

# CA 憑證內容


# 客戶端憑證內容


# 客戶端私鑰內容

將生成的憑證和密鑰內容填入相應的位置，然後將 client.ovpn 文件傳輸到客戶端設備上。

測試連接

在客戶端設備上，使用 OpenVPN 客戶端連接到伺服器，檢查是否能夠成功連接並訪問網絡。

總結

本文介紹了如何在 CentOS 7.7 上部署和配置 OpenVPN 伺服器的詳細步驟。通過這些步驟，您可以建立一個安全的 VPN 連接，保護您的網絡流量。如果您需要高效穩定的 VPS 服務來運行您的 OpenVPN 伺服器，請考慮我們的解決方案，讓您的網絡更加安全。