生成 CA 证书

khdsff1 2026-05-23 4 0

EdgeRouter X 配置 OpenVPN 服务详解：安全远程访问网络的实用指南

作为一位网络工程师,我经常被客户或同事询问如何在小型企业或家庭网络中实现安全、可靠的远程访问，EdgeRouter X（ER-X）作为 Ubiquiti 公司推出的高性能边缘路由器，不仅具备强大的路由功能，还内置了 OpenVPN 服务器支持，是部署安全远程接入的理想选择，本文将详细介绍如何在 EdgeRouter X 上配置 OpenVPN 服务，帮助你建立一个稳定、加密且易于管理的远程访问通道。

确保你的 EdgeRouter X 已经通过 Console 或 SSH 登录，并运行的是最新固件版本（建议使用 v1.10.x 或更高），登录后进入 CLI 模式，我们开始配置步骤：

第一步：创建 CA（证书颁发机构）和服务器证书
OpenVPN 基于 SSL/TLS 加密通信，因此需要先生成证书，使用以下命令生成 CA 和服务器证书：

configure
set vpn openvpn server local-port 1194
set vpn openvpn server protocol udp
set vpn openvpn server tls-auth /config/auth/tls.key
set vpn openvpn server cipher AES-256-CBC
set vpn openvpn server auth SHA256
set vpn openvpn server mode server
set vpn openvpn server push-route 192.168.1.0 255.255.255.0

注意：push-route 是关键一步，它告诉客户端连接后如何访问内网资源（如打印机、NAS 等）。

第二步：生成证书和密钥
如果你还没有证书文件，可以通过 openssl 手动生成，或使用 EdgeOS 自带的脚本工具（推荐使用 cert-tool 脚本）。

# 生成服务器证书
sudo cert-tool server --ca "MyCA" --name "server" --days 3650

第三步：配置客户端认证方式
为了增强安全性，可以启用用户名/密码认证（可选），或者直接使用客户端证书（推荐用于企业环境），若使用证书认证，则需为每个客户端生成独立证书并导入到 EdgeRouter 的证书仓库中。

第四步：保存并应用配置
完成上述配置后，执行：

commit
save
exit

第五步：测试连接
在 Windows、macOS 或 Linux 客户端上安装 OpenVPN GUI 或使用命令行工具，导入生成的客户端证书和密钥文件（通常包含 .crt, .key, .ovpn 文件），然后尝试连接，连接成功后，客户端将获得一个虚拟 IP（如 10.8.0.x），并通过加密隧道访问内网资源。

注意事项：