如何在CentOS上安装VPN教程 [阿里云版]

在CentOS系统上搭建VPN服务前，需确保运行CentOS 7或更高版本，并拥有具备sudo权限的账户。建议选择专有网络VPC环境并分配公网IP地址的ECS实例，以保证服务可达性。同时应配置安全组规则，开放UDP 1701、500、4500端口以支持L2TP协议通信。为避免依赖冲突，需先执行yum update更新系统，并通过systemctl stop firewalld临时关闭防火墙或配置放行规则。

安装核心服务组件

VPN服务需要安装协议栈及加解密模块。对于L2TP/IPSec方案，需通过YUM安装Libreswan和xl2tpd：

• Libreswan：提供IPSec加密功能，执行sudo yum install libreswan -y
• xl2tpd：实现L2TP隧道协议，执行sudo yum install xl2tpd -y

若采用OpenVPN方案，需先添加EPEL仓库：sudo yum install epel-release -y，再安装OpenVPN与EasyRSA证书工具sudo yum install openvpn easy-rsa -y。安装完成后可通过rpm -qa | grep -E "(libreswan|xl2tpd)"验证安装结果。

配置IPSec与L2TP参数

修改Libreswan配置文件/etc/ipsec.conf，在文件末尾添加以下内容以建立IPSec连接：

conn myvpn
left=%defaultroute
leftprotoport=17/1701
right=%any
rightprotoport=17/%any
authby=secret
pfs=no
type=transport
auto=add

在/etc/ipsec.secrets中配置预共享密钥，格式为：%any %any : PSK "YourSharedSecret"。接着编辑xl2tpd主配置文件/etc/xl2tpd/xl2tpd.conf，设置全局参数：

• listen-addr = 服务器公网IP
• ip range = 192.168.78.2-192.168.78.254
• local ip = 192.168.78.1

并在/etc/ppp/chap-secrets中创建用户认证信息，每行格式为：用户名 * 密码 *。

生成证书与启动服务

对于OpenVPN方案，需使用EasyRSA构建PKI体系。首先复制模板文件：cp -r /usr/share/easy-rsa/ ~/easy-rsa，进入目录初始化PKI：./easyrsa init-pki。随后依次执行：

• 创建CA证书：./easyrsa build-ca
• 生成服务器证书：./easyrsa gen-req server nopass 与 ./easyrsa sign-req server server
• 创建Diffie-Hellman参数：./easyrsa gen-dh

将生成的server.crt、server.key、ca.crt、dh.pem复制到/etc/openvpn/server/。最后通过systemctl enable --now ipsec xl2tpd或systemctl enable --now openvpn@server启动服务并设置开机自启。

客户端连接配置指南

在Windows系统中，进入”网络和Internet设置”→”VPN”→”添加VPN连接”，填写以下参数：

移动设备需在VPN设置中选择”L2TP/IPSec PSK”类型，输入相同参数即可建立连接。若使用OpenVPN，需将生成的客户端证书client.crt和密钥client.key导入客户端软件。

故障排查与安全加固

若连接失败，可通过systemctl status ipsec检查IPSec服务状态，使用ipsec verify验证系统兼容性。常见问题及解决方案包括：

• 端口不通：通过netstat -anu | grep -E '(500|4500|1701)'确认端口监听状态
• 认证失败：检查chap-secrets文件格式，确保用户名密码间用Tab分隔
• 无网络访问：执行echo 1 > /proc/sys/net/ipv4/ip_forward启用IP转发

为提升安全性，建议定期更换预共享密钥，禁用弱加密算法，并配置防火墙仅允许特定IP段访问VPN端口。