在当今高度互联的网络环境中,远程办公和安全访问内网资源已成为企业和个人用户的刚需,对于使用华硕(ASUS)或类似品牌WRT系列路由器(如WRT3200ACM、WRT1900AC等)利用其强大的硬件性能和开源固件(如DD-WRT、OpenWRT)部署一个本地OpenVPN服务器,是实现安全远程访问的理想选择,本文将详细介绍如何在WRT类路由器上搭建OpenVPN服务,并配置客户端连接,确保数据传输加密、身份验证可靠。
前提条件是你的WRT设备已刷入支持OpenVPN的固件,推荐使用OpenWRT,它提供了官方的OpenVPN包管理,兼容性更好、社区支持更完善,如果你使用的是DD-WRT,请确认版本支持OpenVPN功能(建议使用较新的版本如DD-WRT v3.0 r46825+),完成刷机后,通过SSH登录路由器(通常默认IP为192.168.1.1),进入命令行界面进行后续操作。
安装OpenVPN软件包,在OpenWRT系统中,执行以下命令:
opkg update opkg install openvpn-openssl
安装完成后,需生成SSL证书和密钥,OpenWRT提供了一个便捷的脚本工具(easy-rsa),用于创建PKI(公钥基础设施),先下载并解压easy-rsa到 /etc/openvpn/ 目录下,然后运行初始化脚本:
cd /etc/openvpn/easy-rsa/ ./easyrsa init-pki ./easyrsa build-ca nopass
接着生成服务器证书和密钥:
./easyrsa gen-req server nopass ./easyrsa sign-req server server
再生成客户端证书和密钥(每个客户端都需要单独生成):
./easyrsa gen-req client1 nopass ./easyrsa sign-req client client1
所有证书和密钥都保存在 pki/ 子目录中。
随后,配置OpenVPN服务器主文件 /etc/openvpn/server.conf,以下是一个基础但安全的配置示例:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3此配置启用UDP协议、分配10.8.0.0/24子网给客户端、自动推送DNS和路由重定向(使客户端流量经由VPN转发),注意:push "redirect-gateway" 会将客户端的所有互联网流量通过服务器路由,若你只想访问内网资源,可删除该行。
配置完成后,启动OpenVPN服务:
/etc/init.d/openvpn start /etc/init.d/openvpn enable
OpenVPN服务将在端口1194上监听请求。
客户端配置:将上述生成的CA证书、客户端证书、私钥和密钥文件打包成 .ovpn 文件,客户端配置文件如下:
client
dev tun
proto udp
remote your_router_public_ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3将此文件导入Windows、Android或iOS的OpenVPN客户端即可连接。
在WRT路由器上部署OpenVPN不仅成本低、安全性高,还能充分利用现有硬件资源,关键步骤包括固件选择、证书生成、服务配置和客户端分发,务必定期更新证书和固件,防止潜在漏洞,确保长期稳定运行,这一方案特别适合家庭用户、小型企业或需要远程访问NAS、摄像头等设备的场景。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
