CentOS KVM环境下VPN服务搭建指南

本文详细介绍了如何基于KVM虚拟化技术，在CentOS系统上搭建VPN服务。通过配置KVM虚拟机，安装VPN软件，并设置相应的网络参数，实现安全、稳定的远程访问。文章涵盖VPN服务的安装、配置及优化，为有需要的读者提供实用指南。

本文目录导读：

1. 环境准备
2. 搭建VPN服务
3. 客户端连接

随着互联网的普及，VPN已经成为越来越多用户的需求，VPN（Virtual Private Network）即虚拟专用网络，它通过加密技术，实现远程访问企业内部网络，保护用户数据安全，本文将详细介绍如何基于KVM和CentOS系统搭建VPN服务。

环境准备

1、一台安装有CentOS系统的服务器，建议配置如下：

- CPU：至少2核

- 内存：至少2GB

- 硬盘：至少20GB

- 网卡：至少1个

2、已安装并配置好KVM虚拟化技术

3、已安装并配置好iptables防火墙

搭建VPN服务

1、安装VPN软件

我们需要安装OpenVPN软件，在CentOS系统中，可以使用以下命令安装：

sudo yum install openvpn -y

2、生成VPN证书

我们需要生成VPN客户端和服务器所需的证书，可以使用以下命令生成CA证书：

sudo openvpn --genca -out /etc/openvpn/easy-rsa/keys/ca.crt

生成服务器证书：

sudo openvpn --req -days 365 -config /etc/openvpn/easy-rsa/openssl.cnf -key /etc/openvpn/easy-rsa/keys/server.key -out /etc/openvpn/easy-rsa/keys/server.crt

生成客户端证书：

sudo openvpn --req -days 365 -config /etc/openvpn/easy-rsa/openssl.cnf -key /etc/openvpn/easy-rsa/keys/client.key -out /etc/openvpn/easy-rsa/keys/client.crt

3、配置OpenVPN

编辑OpenVPN配置文件，例如创建一个名为server.conf的文件：

sudo nano /etc/openvpn/server.conf

添加以下配置：

port 1194
proto tcp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key 0
tls-crypt ta.key 0
comp-lzo
user nobody
group nogroup
max-clients 100
status openvpn-status.log
log /var/log/openvpn.log

4、启动OpenVPN服务

sudo systemctl start openvpn@server.service
sudo systemctl enable openvpn@server.service

5、配置iptables防火墙

允许VPN连接通过：

sudo iptables -A INPUT -p tcp --dport 1194 -j ACCEPT
sudo iptables -A FORWARD -i tun+ -j ACCEPT
sudo iptables -A FORWARD -o tun+ -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

6、重启iptables服务

sudo systemctl restart iptables

客户端连接

1、将服务器生成的客户端证书、私钥和CA证书下载到客户端电脑。

2、创建客户端配置文件，例如创建一个名为client.ovpn的文件：

sudo nano /etc/openvpn/client.ovpn

添加以下配置：

client
dev tun
proto tcp
remote <服务器IP地址> 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
cipher AES-256-CBC
auth-user-pass

3、使用OpenVPN客户端软件连接VPN，根据不同操作系统，下载并安装相应的OpenVPN客户端软件。

4、在客户端软件中导入client.ovpn配置文件，并连接VPN。

本文详细介绍了如何基于KVM和CentOS系统搭建VPN服务，通过搭建VPN，用户可以安全地访问企业内部网络，保护数据安全，在实际应用中，您可以根据需要调整配置，以满足不同的需求。