OpenWrt部署配置openVPN服务器

御坂主机

1. 简介

OpenWrt是一款基于linux的开源路由器固件，提供了丰富的网络功能。OpenVPN是一种安全的虚拟专用网（VPN）技术，广泛用于保护网络通信。本文将详细介绍如何在OpenWrt上部署和配置OpenVPN服务器，以便用户能够在不安全的网络环境中安全地访问其家庭或公司网络。

1.1 OpenWrt和OpenVPN的基本概念

OpenWrt是一种嵌入式操作系统，支持多种路由器和网络设备，提供强大的网络管理和配置功能。OpenVPN是一种开源VPN解决方案，使用SSL/TLS加密来确保数据传输的安全性和隐私性。

2. 安装OpenVPN

在开始配置OpenVPN服务器之前，需要在OpenWrt上安装OpenVPN软件包。

2.1 更新软件包列表

首先，更新OpenWrt的软件包列表，以确保获取最新的软件包。

1. opkg update

复制代码

2.2 安装OpenVPN

使用以下命令安装OpenVPN及其相关组件。

1. opkg install openvpn-openssl luci-app-openvpn

复制代码

该命令将安装OpenVPN核心组件和LuCI图形界面插件，便于通过Web界面管理OpenVPN。

3. 配置OpenVPN服务器

安装完成后，需要配置OpenVPN服务器，以便客户端能够连接。

3.1 生成加密密钥和证书

OpenVPN使用SSL/TLS证书来加密通信。可以使用Easy-RSA工具生成所需的密钥和证书。

1. opkg install easy-rsa
   
2. mkdir -p /etc/easy-rsa
   
3. cp -r /usr/share/easy-rsa/* /etc/easy-rsa/
   
4. cd /etc/easy-rsa

复制代码

编辑vars文件，配置证书相关信息。

1. vi vars

复制代码

根据需要修改以下字段。

1. export KEY_COUNTRY="CN"
   
2. export KEY_PROVINCE="YourProvince"
   
3. export KEY_CITY="YourCity"
   
4. export KEY_ORG="YourOrg"
   
5. export KEY_Email="[email protected]"
   
6. export KEY_OU="YourOrgUnit"

复制代码

初始化PKI并生成根证书和密钥。

1. ./easyrsa init-pki
   
2. ./easyrsa build-ca

复制代码

生成服务器证书和密钥。

1. ./easyrsa gen-req server nopass
   
2. ./easyrsa sign-req server server

复制代码

生成Diffie-Hellman参数。

1. ./easyrsa gen-dh

复制代码

生成客户端证书和密钥。

1. ./easyrsa gen-req client1 nopass
   
2. ./easyrsa sign-req client client1

复制代码

3.2 配置OpenVPN服务器

创建OpenVPN服务器配置文件。

1. vi /etc/openvpn/server.conf

复制代码

添加以下配置内容。

1. port 1194
   
2. proto udp
   
3. dev tun
   
4. ca /etc/easy-rsa/pki/ca.crt
   
5. cert /etc/easy-rsa/pki/issued/server.crt
   
6. key /etc/easy-rsa/pki/private/server.key
   
7. dh /etc/easy-rsa/pki/dh.pem
   
8. server 10.8.0.0 255.255.255.0
   
9. ifconfig-pool-persist ipp.txt
   
10. push "redirect-gateway def1 bypass-dhcp"
    
11. push "dhcp-option DNS 8.8.8.8"
    
12. keepalive 10 120
    
13. cipher AES-256-CBC
    
14. user nobody
    
15. group nogroup
    
16. persist-key
    
17. persist-tun
    
18. status openvpn-status.log
    
19. verb 3

复制代码

3.3 启动OpenVPN服务器

配置完成后，启动OpenVPN服务器并设置为开机自启。

1. /etc/init.d/openvpn start
   
2. /etc/init.d/openvpn enable

复制代码

4. 配置防火墙

为了允许OpenVPN流量通过，需要配置OpenWrt防火墙。

4.1 开放VPN端口

编辑防火墙配置文件，添加规则开放UDP 1194端口。

1. vi /etc/config/firewall

复制代码

添加以下规则。

1. config rule
   
2.     option name 'Allow-OpenVPN'
   
3.     option src 'wan'
   
4.     option dest_port '1194'
   
5.     option proto 'udp'
   
6.     option target 'ACCEPT'

复制代码

4.2 允许VPN接口通信

添加以下防火墙区域配置，以允许VPN接口与LAN接口通信。

1. config zone
   
2.     option name 'vpn'
   
3.     option input 'ACCEPT'
   
4.     option forward 'ACCEPT'
   
5.     option output 'ACCEPT'
   
6.     option network 'vpn0'
   
7. 
   
8. config forwarding
   
9.     option src 'vpn'
   
10.     option dest 'lan'

复制代码

重启防火墙使配置生效。

1. /etc/init.d/firewall restart

复制代码

5. 配置客户端

最后，配置OpenVPN客户端以连接到OpenWrt上的OpenVPN服务器。

5.1 创建客户端配置文件

在客户端设备上创建OpenVPN配置文件，例如client1.ovpn，并添加以下内容。

1. client
   
2. dev tun
   
3. proto udp
   
4. remote your-server-ip 1194
   
5. resolv-retry infinite
   
6. nobind
   
7. persist-key
   
8. persist-tun
   
9. remote-cert-tls server
   
10. cipher AES-256-CBC
    
11. verb 3

复制代码

将生成的客户端证书和密钥（client1.crt和client1.key）以及根证书（ca.crt）复制到客户端配置文件所在目录，并在配置文件中引用它们。

1. ca ca.crt
   
2. cert client1.crt
   
3. key client1.key
   

复制代码

5.2 连接到OpenVPN服务器

使用OpenVPN客户端软件加载并连接配置文件，即可实现安全的VPN连接。

6. 总结

通过以上步骤，您已经成功在OpenWrt上部署并配置了OpenVPN服务器，确保用户能够在不安全的网络环境中安全地访问其家庭或公司网络。希望本文提供的详细指南能帮助您顺利完成OpenVPN的配置，并增强网络的安全性和隐私性。

------------------------------------------------------------------------------------------------------------------------------------------

========  御 坂 主 机  ========

>> VPS主机 服务器 前沿资讯 行业发布 技术杂谈 <<

>> 推广/合作/找我玩  TG号 : @Misaka_Offical <<

-------------------------------------------------------------------------------------------------------------------------------------------