作为一名网络工程师,我经常遇到用户在使用极路由(如极路由3、极路由Air等)时希望搭建个人或企业级的VPN服务,以实现远程访问内网资源、保护隐私或绕过地理限制,本文将详细介绍如何在极路由上配置OpenVPN服务,帮助你安全、稳定地建立自己的虚拟私人网络。
明确一个前提:极路由本身不原生支持完整的OpenVPN服务器功能,但通过刷入第三方固件(如DD-WRT、OpenWrt或梅林固件),可以轻松实现这一目标,如果你还在使用官方固件,请务必先备份数据,并谨慎操作,避免变砖。
第一步:准备阶段
你需要一台支持OpenWrt的极路由设备(例如极路由3),并确保其已成功刷入OpenWrt固件,安装完成后,通过SSH登录路由器(默认IP为192.168.1.1),使用root账户和密码进入命令行界面。
第二步:安装OpenVPN组件
在OpenWrt系统中,我们可以通过opkg命令安装OpenVPN及相关工具:
opkg update opkg install openvpn-openssl ca-certificates
这一步会安装OpenVPN服务器端和证书管理工具。
第三步:生成SSL/TLS证书和密钥
这是VPN安全性的重要环节,建议使用easy-rsa工具生成CA证书、服务器证书和客户端证书:
cd /etc/openvpn/ mkdir easy-rsa cp -r /usr/share/easy-rsa/* . ./build-ca # 创建CA根证书 ./build-key-server server # 创建服务器证书 ./build-key client1 # 为客户端创建证书 ./build-dh # 生成Diffie-Hellman参数
所有生成的文件都保存在/etc/openvpn/目录下。
第四步:配置OpenVPN服务
编辑/etc/openvpn/server.conf文件,添加以下关键配置:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0" # 推送内网路由
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3第五步:启用防火墙规则
确保允许UDP 1194端口通过防火墙:
uci add firewall rule uci set firewall.@rule[-1].name='Allow OpenVPN' uci set firewall.@rule[-1].src='wan' uci set firewall.@rule[-1].dest_port='1194' uci set firewall.@rule[-1].proto='udp' uci set firewall.@rule[-1].target='ACCEPT' uci commit firewall /etc/init.d/firewall reload
第六步:启动服务并测试
执行:
/etc/init.d/openvpn start /etc/init.d/openvpn enable
然后在Windows或手机上使用OpenVPN Connect客户端导入生成的.ovpn配置文件,连接测试是否成功。
最后提醒:定期更新证书、设置强密码、限制IP访问权限,是保障VPN长期安全的关键,通过以上步骤,你的极路由就变身成了一个功能完备的私有VPN服务器,无论在家还是出差,都能安心访问家庭网络资源。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
