EdgeRouter X 配置 OpenVPN 服务详解:安全远程访问网络的完整指南
作为一位网络工程师,我经常被客户或同事询问如何在小型企业或家庭网络中实现安全、可靠的远程访问,EdgeRouter X(ER-X)作为 Ubiquiti 公司推出的高性能边缘路由器,因其稳定性和丰富的功能,成为许多中小型企业部署网络基础设施的理想选择,本文将详细介绍如何在 EdgeRouter X 上配置 OpenVPN 服务,从而实现安全、加密的远程访问。
确保你的 EdgeRouter X 已经完成基本网络配置,WAN 接口已连接互联网,LAN 接口已分配静态 IP 地址段(如 192.168.1.0/24),并且你已经通过 Web UI 或 CLI 登录到设备。
第一步:生成证书和密钥
OpenVPN 使用 TLS 加密,因此需要使用 OpenSSL 创建服务器证书、客户端证书以及 CA(证书颁发机构),你可以直接在 EdgeRouter 上运行这些命令(需启用 SSH 访问并安装 openssl 工具):
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt # 生成服务器证书 openssl genrsa -out server.key 4096 openssl req -new -key server.key -out server.csr openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt # 生成 Diffie-Hellman 参数(用于密钥交换) openssl dhparam -out dh.pem 2048
第二步:配置 OpenVPN 服务
进入 EdgeRouter 的配置模式(configure),然后添加 OpenVPN 服务:
set service openvpn server ovpns1 protocol tcp-server set service openvpn server ovpns1 local-port 1194 set service openvpn server ovpns1 mode tcp set service openvpn server ovpns1 tls-auth /config/auth/tls.key 0 set service openvpn server ovpns1 cipher AES-256-CBC set service openvpn server ovpns1 auth SHA256 set service openvpn server ovpns1 push-route 192.168.1.0 255.255.255.0 set service openvpn server ovpns1 client-config-dir /config/openvpn/client-configs set service openvpn server ovpns1 description "Secure Remote Access"
第三步:设置客户端认证
你需要为每个客户端生成唯一的证书(可使用 easy-rsa 脚本简化流程),并将客户端 .ovpn 文件分发给用户,客户端配置示例:
client
dev tun
proto tcp
remote your-edge-router-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
tls-auth tls.key 1
cipher AES-256-CBC
auth SHA256第四步:防火墙规则与 NAT
确保 EdgeRouter 的防火墙允许 OpenVPN 流量(端口 1194 TCP),并在 LAN 接口上启用 NAT,让客户端能访问内部网络资源。
保存配置并重启 OpenVPN 服务:
commit save
测试连接时,建议使用 OpenVPN 客户端软件(如 OpenVPN Connect)导入配置文件,并验证是否能成功建立隧道并访问内网资源。
通过上述步骤,你可以在 EdgeRouter X 上构建一个可靠、加密的 OpenVPN 网络,满足远程办公、分支机构接入等场景需求,此方案具备良好的扩展性,也易于维护,是中小企业网络架构中不可或缺的一环。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
