作为一名网络工程师，我经常遇到用户希望在家庭或小型办公环境中搭建安全的远程访问通道，极路由4作为一款性价比高、功能丰富的家用路由器，支持通过第三方固件（如OpenWrt）安装和配置OpenVPN服务，为用户提供加密隧道连接，实现远程访问内网资源、保护隐私或绕过地域限制，本文将详细介绍如何在极路由4上设置OpenVPN服务器，确保操作简单、稳定且安全。

第一步：准备工作
确保你的极路由4已刷入OpenWrt固件（如LEDE 19.07或更高版本），因为原厂固件不支持OpenVPN服务，刷机前请备份数据并确认硬件兼容性，刷机完成后，通过SSH登录路由器（默认IP是192.168.1.1，用户名root，密码为空或你设置的密码）。

第二步：安装OpenVPN及相关组件
在终端中执行以下命令安装OpenVPN服务：

opkg update
opkg install openvpn-openssl ca-certificates

同时建议安装luci-app-openvpn以获得图形化界面,便于管理：

opkg install luci-app-openvpn

第三步：生成证书与密钥（使用Easy-RSA）
OpenVPN依赖SSL/TLS证书进行身份验证，我们使用内置的Easy-RSA工具生成CA根证书、服务器证书和客户端证书,先创建证书目录：

mkdir -p /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa

然后初始化环境并生成证书（按提示输入相关信息）：

./easyrsa init-pki
./easyrsa build-ca
./easyrsa gen-req server nopass
./easyrsa sign-req server server

最后生成客户端证书和密钥（可为多个设备生成）：

./easyrsa gen-req client1 nopass
./easyrsa sign-req client client1

第四步：配置OpenVPN服务器
创建配置文件 /etc/openvpn/server.conf如下：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

保存后启动服务：

/etc/init.d/openvpn start
/etc/init.d/openvpn enable

第五步：客户端配置
将生成的客户端证书（client1.crt）、私钥（client1.key）和CA证书（ca.crt）合并为一个.ovpn文件，并上传到手机或电脑，连接时选择UDP协议，端口1194,即可安全接入内网。

极路由4搭配OpenWrt可以轻松搭建高性能OpenVPN服务，满足远程办公、家庭NAS访问等需求，注意定期更新证书、启用防火墙规则（如iptables），并避免暴露端口至公网，此方案成本低、稳定性高,非常适合中小型网络场景。