作为一名网络工程师,在企业或家庭网络中,安全地远程访问内网资源已成为刚需,极路由3作为一款性价比高、可刷第三方固件(如OpenWrt)的家用路由器,是实现这一目标的理想平台,本文将详细讲解如何在极路由3上配置OpenVPN服务,为用户提供加密、稳定的远程访问通道。
确保你已拥有以下条件:
- 极路由3一台,固件版本支持OpenWrt(推荐使用官方稳定版或LEDE分支);
- 电脑或手机用于连接测试;
- 一个公网IP地址(若无固定IP,建议使用DDNS服务绑定域名);
- 基础Linux命令操作能力(可通过SSH连接路由器)。
第一步:刷入OpenWrt固件
极路由3原厂固件不支持OpenVPN,必须刷入OpenWrt,刷机过程需谨慎,建议先备份原厂固件,再按照OpenWrt官网提供的教程进行操作(如通过TFTP方式),刷机成功后,登录Web界面(默认地址192.168.1.1),进入“系统”→“软件包”,更新软件源并安装OpenVPN相关组件:
openvpn(主程序)openvpn-easy-rsa(证书生成工具)luci-app-openvpn(图形化管理界面)
第二步:生成证书和密钥
证书是OpenVPN身份验证的核心,在终端执行以下命令(通过SSH登录路由器):
cd /etc/openvpn/ mkdir easy-rsa cp -r /usr/share/easy-rsa/* ./easy-rsa/ cd easy-rsa ./vars # 设置变量(如国家、组织名) ./clean-all ./build-ca # 创建CA证书 ./build-key-server server # 创建服务器证书 ./build-key client1 # 创建客户端证书(可多创建) ./build-dh # 生成Diffie-Hellman参数
完成后,会生成多个文件,如ca.crt、server.crt、server.key、dh2048.pem等,这些是后续配置的关键。
第三步:配置OpenVPN服务器
编辑/etc/openvpn/server.conf文件,添加如下内容(可根据需求调整端口、协议):
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3第四步:启动服务与防火墙设置
运行/etc/init.d/openvpn start启动服务,并设置开机自启:
/etc/init.d/openvpn enable
在“网络”→“防火墙”中开放UDP 1194端口,允许来自外部的连接。
第五步:客户端配置
将生成的客户端证书(client1.crt、client1.key、ca.crt)合并为一个.ovpn文件,示例如下:
client
dev tun
proto udp
remote your.ddns.net 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3用OpenVPN客户端导入此文件即可连接。
最后提醒:定期更新证书、启用强密码保护、限制客户端数量,以提升安全性,极路由3虽硬件性能有限,但配合OpenWrt的灵活性,完全能满足中小型网络的远程接入需求,掌握此项技能,让你的网络更安全、更自由!
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
