手把手教你用CentOS搭建稳定VPN服务，从零开始的私密网络之旅

在当今数字时代,网络安全和隐私保护越来越重要，无论是远程办公、访问海外资源，还是避免ISP监控，一个可靠的个人VPN服务都能让你的数据更安全、上网更自由，而CentOS作为一个稳定、开源、适合服务器部署的操作系统，正是搭建自建VPN的理想选择，我就带你一步步从零开始，在CentOS上搭建一个功能完整、稳定高效的OpenVPN服务。

确保你已经准备好了以下条件：

• 一台运行CentOS（推荐7或8）的服务器（可以是阿里云、腾讯云、Vultr等云服务商提供的虚拟机）
• 一个公网IP地址
• 基本的Linux命令行操作能力（别担心，我会详细说明每一步）

第一步：更新系统并安装依赖
登录你的CentOS服务器后，先执行系统更新：

sudo yum update -y

然后安装必要的工具包：

sudo yum install -y epel-release
sudo yum install -y openvpn easy-rsa

第二步：配置OpenVPN证书颁发机构（CA）
OpenVPN使用SSL/TLS加密，因此需要证书，进入Easy-RSA目录：

cd /usr/share/easy-rsa/
sudo cp -r /usr/share/easy-rsa/ /etc/openvpn/easy-rsa/
cd /etc/openvpn/easy-rsa/

编辑vars文件，设置你的组织信息（如国家、省份、公司名等），

export KEY_COUNTRY="CN"
export KEY_PROVINCE="Beijing"
export KEY_CITY="Beijing"
export KEY_ORG="MyCompany"
export KEY_EMAIL="admin@mycompany.com"

接着生成CA证书和密钥：

sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass

输入nopass表示不设置密码，方便自动化启动。

第三步：生成服务器证书和密钥

sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server

第四步：生成客户端证书（可为多个设备生成）

sudo ./easyrsa gen-req client1 nopass
sudo ./easyrsa sign-req client client1

第五步：生成Diffie-Hellman参数和TLS密钥

sudo ./easyrsa gen-dh
sudo openvpn --genkey --secret ta.key

第六步：配置OpenVPN服务
复制模板配置文件：

sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/
sudo nano /etc/openvpn/server.conf

修改关键配置项,如：

• port 1194（默认端口）
• proto udp（UDP更快）
• dev tun（TUN模式）
• 指定刚刚生成的证书路径（ca.crt、cert.pem、key.pem、dh.pem、ta.key）

第七步：启用IP转发和防火墙规则
编辑/etc/sysctl.conf，取消注释：

net.ipv4.ip_forward = 1

执行：

sudo sysctl -p

配置iptables允许流量转发：

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo service iptables save

启动服务并设置开机自启：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

你可以将客户端配置文件（client.ovpn）分发给你的设备，连接即可享受加密隧道！整个过程虽然略显复杂，但一旦成功，你拥有的是一个完全自主、安全可控的私人网络通道，这不仅节省了商业VPN费用，还极大提升了数据隐私保护水平。

如果你对安全性有更高要求,还可以结合WireGuard进一步优化——那是另一个精彩的话题了！欢迎留言交流你的实践心得～

半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速