作为一名网络工程师,我经常遇到客户或家庭用户希望在家中搭建一个安全、稳定的远程访问通道,以便随时随地访问局域网内的设备(如NAS、监控摄像头、文件服务器等),TP-Link WR841N是一款经典且性价比极高的家用无线路由器,虽然原厂固件功能有限,但通过刷入第三方固件(如OpenWrt),我们可以将其升级为强大的软路由平台,从而支持OpenVPN服务,本文将详细介绍如何在WR841N上部署OpenVPN服务,实现安全的远程访问。
确保你的WR841N硬件版本兼容OpenWrt,WR841N v1/v2/v3均支持OpenWrt,但需注意刷机前备份原厂固件以防万一,建议使用官方推荐的OpenWrt版本(如OpenWrt 21.02.x或更高版本),并从openwrt.org官网下载对应型号的固件文件。
刷机步骤如下:
- 登录路由器管理界面(默认地址192.168.1.1);
- 进入“系统”→“固件升级”,上传OpenWrt固件;
- 等待重启完成,此时路由器将进入OpenWrt环境,首次登录需通过串口或SSH连接,默认用户名root,无密码。
接下来配置OpenVPN服务:
- 更新软件包列表:
opkg update - 安装OpenVPN及相关工具:
opkg install openvpn-openssl ca-certificates - 生成证书和密钥(可使用Easy-RSA工具):
- 安装Easy-RSA:
opkg install easy-rsa - 初始化PKI目录:
make-cadir /etc/openvpn/easy-rsa - 编辑
/etc/openvpn/easy-rsa/vars,设置国家、组织名等信息 - 执行
./build-ca生成根证书(CA) - 执行
./build-key-server server生成服务器证书 - 执行
./build-key client1生成客户端证书(可多用户) - 生成Diffie-Hellman参数:
./build-dh
- 安装Easy-RSA:
配置OpenVPN服务端:
创建/etc/openvpn/server.conf示例:
port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3启用并启动服务:
/etc/init.d/openvpn enable /etc/init.d/openvpn start
配置防火墙规则(允许UDP 1194端口):
uci add firewall rule uci set firewall.@rule[-1].name='Allow-OpenVPN' uci set firewall.@rule[-1].proto='udp' uci set firewall.@rule[-1].dest_port='1194' uci set firewall.@rule[-1].target='ACCEPT' uci commit firewall /etc/init.d/firewall restart
将客户端证书(client1.crt、client1.key、ca.crt)导出到本地,使用OpenVPN客户端(Windows/macOS/Linux均可)导入配置文件即可连接。
这样,你就可以在任何地方通过OpenVPN安全地访问家中的网络资源了,相比传统端口映射,OpenVPN提供了加密隧道和身份认证,安全性大幅提升,是家庭网络远程访问的理想方案,还需考虑公网IP获取、DDNS动态域名解析等细节,才能实现真正的“随时随地访问”。
半仙加速器-海外加速器|VPN加速器|vpn翻墙加速器|VPN梯子|VPN外网加速
