導讀	養成良好習慣，在安裝前先更新一下軟體包，多數軟體包更新主要是修補漏洞。

更新軟體包

yum -y update

雖然也是可以不進行更新直接安裝。

安裝 OpenVPN 和 EasyRSA

安裝 OpenVPN、 Firewalld 軟體包以及用於生成各種證書的 EasyRSA

yum -y install openvpn easy-rsa firewalld

如果未能成功安裝 OpenVPN，則可能需要先安裝一下 Epel 庫。

yum install epel-release -y

生成 CA 證書、服務端金鑰與共享金鑰

這裡步驟比較多。

首先需要初始化 PKI

cd ~
/usr/share/easy-rsa/3/easyrsa init-pki

接下來是生成 CA 證書

/usr/share/easy-rsa/3/easyrsa build-ca nopass

其中 nopass 表示不加密私鑰，主要是方便後面匯出公鑰與頒發伺服器證書。

再來是生成互動金鑰

/usr/share/easy-rsa/3/easyrsa gen-dh

開始生成服務端金鑰

/usr/share/easy-rsa/3/easyrsa build-server-full vpn-server nopass

接下來生成客戶端金鑰，如果未開啟同證書允許多人登陸，則需要多次執行生成對應的客戶端金鑰

/usr/share/easy-rsa/3/easyrsa build-client-full vpn-client-01 nopass

最後是生成證書互動列表，如果不需要 crl-verify 則可以跳過

/usr/share/easy-rsa/3/easyrsa gen-crl

其實到這一步需要的證書都以及生成好了，如果你開啟了 tls-auth 則還需要生成共享金鑰

openvpn --genkey --secret pki/ta.key

在上面所有證書都生成完畢之後，我們需要將相關證書複製到 OpenVPN 的配置資料夾中（似乎也可以在 conf 檔案中使用絕對路徑）

cp pki/ca.crt /etc/openvpn/ca.crt
cp pki/dh.pem /etc/openvpn/dh.pem
cp pki/issued/vpn-server.crt /etc/openvpn/server.crt
cp pki/private/vpn-server.key /etc/openvpn/server.key
cp pki/ta.key /etc/openvpn/ta.key
cp pki/crl.pem /etc/openvpn/crl.pem

配置服務端

OpenVPN 配置檔案有許多可定製化，具體請查閱官方文件。

cd /etc/openvpn
vim server.conf

將以下內容貼上進去

# Secure OpenVPN Server Config
# Basic Connection Config
dev tun
proto udp
port 1194
keepalive 10 120
max-clients 5
# Certs
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
# Ciphers and Hardening
reneg-sec 0
remote-cert-tls client
crl-verify crl.pem
tls-version-min 1.2
cipher AES-256-CBC
auth SHA512
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
# Drop Privs
user nobody
group nobody
# IP pool
server 172.31.100.0 255.255.255.0
topology subnet
ifconfig-pool-persist ipp.txt
client-config-dir client
# Misc
persist-key
persist-tun
comp-lzo
# DHCP Push options force all traffic through VPN and sets DNS servers
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
# Logging
log-append /var/log/openvpn.log
verb 3

啟動服務端並讓其開機自動啟動

systemctl start openvpn@server
systemctl enable openvpn@server

配置防火牆與流量轉發

放行 OpenVPN 入網流量與開啟 IP 偽裝

firewall-cmd --permanent --add-service openvpn
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

檢查是否開啟流量轉發

sysctl -a | grep net.ipv4.ip_forward

確保net.ipv4.ip_forward 等於 1，如果不是，則需要修改一下

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

配置客戶端

客戶端需要複製以下檔案

cd ~
mkdir vpn-client-01-config
cp pki/ca.crt vpn-client-01-config/ca.crt
cp pki/issued/vpn-client-01.crt vpn-client-01-config/client.crt
cp pki/private/vpn-client-01.key vpn-client-01-config/client.key
cp pki/ta.key vpn-client-01-config/ta.key

最後vim vpn-client-01-config/client.ovpn並貼上下面內容

# Secure OpenVPN Client Config
#viscosity dns full
#viscosity usepeerdns true
#viscosity dhcp true
tls-client
pull
client
dev tun
proto udp
remote 123.123.123.123 1194
redirect-gateway def1
nobind
persist-key
persist-tun
comp-lzo
verb 3
ca ca.crt
cert client.crt
key client.key
tls-auth ta.key 1
remote-cert-tls server
ns-cert-type server
key-direction 1
cipher AES-256-CBC
tls-version-min 1.2
auth SHA512
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256

remote後面填寫服務端IP地址和使用的埠號，然後將 vpn-client-01-config 的所有檔案複製到需要連結的電腦上，即可開始使用。

原文來自：

Centos7安裝與配置OpenVPN伺服器

相關文章