作为一名网络工程师,我经常被问到如何在家庭或小型办公环境中搭建一个稳定、安全的VPN服务器，极路由（如极路由3、极路由4等）因其良好的硬件性能和开放的固件支持（如OpenWrt），成为许多用户首选的轻量级路由器，本文将详细介绍如何在极路由上搭建一个基于OpenVPN的服务器，实现远程安全访问内网资源。

准备工作必不可少,你需要一台运行极路由的设备，并确保其已刷入OpenWrt固件（官方推荐版本为21.02或更高），建议先备份原厂固件，以防操作失误导致无法开机，你还需要一台电脑用于配置和测试，以及一个公网IP地址（可通过DDNS服务动态绑定域名，如花生壳、No-IP等）。

第一步是安装OpenVPN服务,登录OpenWrt的Web管理界面（LuCI），进入“软件包” → “更新软件包列表”，然后搜索并安装“openvpn-server”和“openvpn-easy-rsa”两个组件，安装完成后，系统会自动创建默认的证书颁发机构（CA）和服务器密钥文件，你可以通过SSH连接到路由器，执行以下命令生成客户端证书：

cd /etc/openvpn/easy-rsa/
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server

第二步是配置OpenVPN服务器参数,编辑 /etc/openvpn/server.conf 文件，关键配置包括：

• port 1194：指定端口（可改为其他非标准端口以减少扫描攻击）
• proto udp：使用UDP协议提高传输效率
• dev tun：虚拟隧道接口
• ca /etc/openvpn/easy-rsa/pki/ca.crt
• cert /etc/openvpn/easy-rsa/pki/issued/server.crt
• key /etc/openvpn/easy-rsa/pki/private/server.key
• dh /etc/openvpn/easy-rsa/pki/dh.pem
• server 10.8.0.0 255.255.255.0：分配给客户端的IP段
• push "redirect-gateway def1 bypass-dhcp"：让客户端流量走VPN通道
• push "dhcp-option DNS 8.8.8.8"：指定DNS服务器

配置完成后,启用OpenVPN服务并设置开机自启：

/etc/init.d/openvpn enable
/etc/init.d/openvpn start

第三步是防火墙配置,极路由默认防火墙规则可能阻止外部访问，需添加端口转发规则（如端口1194 UDP），并在防火墙中允许OpenVPN流量，这一步至关重要，否则即使服务启动也无法连接。

生成客户端配置文件,在客户端设备（如手机或笔记本）上安装OpenVPN客户端，导入证书和密钥后即可连接，首次连接时，记得开启“允许远程访问”选项，确保内网服务（如NAS、摄像头）能被正确访问。

极路由配合OpenWrt搭建OpenVPN服务器,不仅成本低、易部署，还能提供企业级级别的安全性，对于家庭用户或小团队来说，这是实现远程办公、数据加密传输的理想方案，建议定期更新证书、加强密码策略，并结合IP白名单进一步提升安全性，网络安全无小事，从一个小小的极路由开始，构建你的数字防线！