在现代网络环境中，虚拟私人网络（VPN）已成为企业远程办公、个人隐私保护和跨地域访问控制的重要工具，对于Linux服务器管理员而言，掌握如何通过包管理器（如YUM）快速部署OpenVPN服务，是提升运维效率的关键技能之一，本文将详细介绍如何利用YUM在CentOS/RHEL系统中搭建一个稳定、安全的OpenVPN服务，包括环境准备、安装配置、证书生成、防火墙设置以及客户端连接步骤。

确保你有一台运行CentOS 7或8（或RHEL类似版本）的服务器，并具备root权限或sudo权限，登录到服务器后,执行以下命令更新系统软件包：

sudo yum update -y

启用EPEL仓库（Extra Packages for Enterprise Linux）,因为OpenVPN的依赖项和脚本可能不在默认源中：

sudo yum install epel-release -y

安装OpenVPN及相关工具（如easy-rsa用于证书管理）：

sudo yum install openvpn easy-rsa -y

安装完成后,复制示例配置文件到标准目录：

sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/

编辑主配置文件以启用TLS认证和加密：

sudo vi /etc/openvpn/server.conf

修改关键参数如下：

• port 1194：指定端口（建议改为非默认端口如12345以避免扫描攻击）
• proto udp：选择UDP协议（性能优于TCP）
• dev tun：使用隧道设备
• ca /etc/openvpn/easy-rsa/pki/ca.crt
• cert /etc/openvpn/easy-rsa/pki/issued/server.crt
• key /etc/openvpn/easy-rsa/pki/private/server.key
• dh /etc/openvpn/easy-rsa/pki/dh.pem

生成证书和密钥，进入easy-rsa目录并初始化PKI环境：

cd /etc/openvpn/easy-rsa/
sudo make-cadir /etc/openvpn/easy-rsa/pki
cd /etc/openvpn/easy-rsa/pki
sudo ./easyrsa init-pki
sudo ./easyrsa build-ca nopass  # 创建CA证书（无需密码）
sudo ./easyrsa gen-req server nopass
sudo ./easyrsa sign-req server server
sudo ./easyrsa gen-dh

生成完证书后,启动OpenVPN服务并设置开机自启：

sudo systemctl start openvpn@server
sudo systemctl enable openvpn@server

为了允许流量转发,需启用IP转发：

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

若使用firewalld,开放UDP端口并配置NAT规则：

sudo firewall-cmd --add-port=1194/udp --permanent
sudo firewall-cmd --reload
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

为客户端生成证书和配置文件，在客户端机器上安装OpenVPN客户端，并导入服务器证书及客户端私钥，客户端配置文件（client.ovpn）应包含：

client
dev tun
proto udp
remote your-server-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
verb 3

完成上述步骤后，客户端即可通过OpenVPN连接至服务器，实现加密通信，此方法基于YUM自动化安装，适合批量部署和标准化运维场景，注意定期更新证书、监控日志（journalctl -u openvpn@server）以保障安全性。

通过YUM构建OpenVPN不仅高效可靠，还能与其他自动化工具（如Ansible）集成,是网络工程师值得掌握的实战技能。