首页 / VPN翻墙 / OpenWrt SSL VPN配置实战，打造安全、灵活的远程访问方案

OpenWrt SSL VPN配置实战，打造安全、灵活的远程访问方案

khdsff1 2026-05-01 3 0

在现代网络环境中,远程访问企业内网资源已成为日常工作的重要组成部分，无论是远程办公、运维管理还是跨地域协作，一个稳定、安全且易于部署的虚拟私人网络（VPN）解决方案至关重要，OpenWrt作为一个开源嵌入式Linux系统，广泛应用于路由器和边缘设备，其强大的模块化设计使其成为构建SSL-VPN服务的理想平台，本文将详细介绍如何在OpenWrt中配置SSL-VPN，帮助用户快速搭建一套安全、高效的远程访问通道。

确保你的OpenWrt设备已安装并运行最新版本固件,推荐使用OpenWrt 21.02或更高版本，以获得更好的兼容性和安全性支持，进入LuCI图形界面后，点击“系统” → “软件包”，搜索并安装以下核心组件：

openvpn：OpenVPN服务器端程序
ca-certificates：用于SSL证书验证
openssl-util：提供证书生成工具
luci-app-openvpn：图形化配置界面（可选但推荐）

安装完成后,进入“网络” → “OpenVPN”菜单，点击“添加”创建新的SSL-VPN实例，关键配置步骤如下：

证书与密钥生成
使用OpenWrt自带的easy-rsa脚本生成PKI（公钥基础设施），登录SSH终端执行：

cd /etc/openvpn/
mkdir -p easy-rsa
cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
cd /etc/openvpn/easy-rsa/
./build-ca    # 创建根证书颁发机构（CA）
./build-key-server server    # 创建服务器证书
./build-key client1    # 创建客户端证书（可多用户）
./build-dh    # 生成Diffie-Hellman参数

生成的证书文件（如ca.crt、server.crt、server.key等）需妥善保管，建议通过SCP传输至客户端设备。

服务器配置
在LuCI界面中填写以下参数：
- 协议：选择UDP（性能更优）
- 端口：默认1194（可自定义）
- TLS认证：启用并指定ca.crt
- 服务器证书与私钥：分别填入server.crt和server.key
- DH参数文件：指向dh.pem
- 网络池：设置客户端IP分配范围（如10.8.0.0/24）
- 推送路由：若需让客户端访问局域网设备，添加push "route 192.168.1.0 255.255.255.0"
防火墙规则
进入“网络” → “防火墙” → “区域”，为OpenVPN区域添加规则：
- 允许从外部访问1194端口（TCP/UDP）
- 设置转发规则,使客户端能访问内部网络（如LAN区）
- 启用NAT转换（通常自动处理）
客户端连接
将生成的证书文件（client1.crt、client1.key、ca.crt）合并为.ovpn配置文件，内容示例：
```
client
dev tun
proto udp
remote your.openwrt.ip 1194
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3
```
使用OpenVPN客户端（Windows/Linux/macOS均有官方支持）导入此文件即可连接。