News
Openwrt 路由器 ⭐ vpn 设置终极指南:wireguard 与 openvpn 全攻略
Openwrt 路由器 ⭐ vpn 设置终极指南:wireguard 与 openvpn 全攻略 的首要事实是:通过在路由器层面配置 VPN,可以实现整网流量加密、跨境访问、以及对局域网设备的统一隐私保护。下面给你一个从零开始到落地的完整步骤,包含实际操作细节、常见坑与性能优化。无论你是新手还是经验丰富的使用者,这份指南都能帮助你快速上手并获得稳定、可靠的 VPN 连接。
简要快速指南(适合忙碌的你):
- 选择 VPN 协议:若追求速度与易用性,WireGuard 更优秀;若需要广泛的服务器兼容性与成熟的证书体系,OpenVPN 是稳妥选项。
- 在 OpenWrt 上安装相关软件包:wireguard-hermes、luci-app-wireguard、openvpn-client、luci-app-openvpn 等。
- 配置策略路由与防火墙:确保 VPN 流量走代理,同时避免 DNS 泄漏。
- 测试与排错:通过外部 IP 测试、DNS 泄漏测试、连接稳定性测试来确认 VPN 工作正常。
目录
- 为什么在 OpenWrt 上用 VPN?
- VPN 协议对比:WireGuard vs OpenVPN
- 环境与前提条件
- 方案一:WireGuard 全攻略
- 安装与基础配置
- 生成密钥与配置对端
- 客户端与路由策略
- 性能优化建议
- 方案二:OpenVPN 全攻略
- 安装与基础配置
- 证书与服务器/客户端配置
- 路由与防火墙设置
- 常见问题与排错
- DNS 与隐私保护
- 多设备与分流策略
- 常见坑与解决办法
- 性能测试与基准
- 维保与更新
- 资源与参考
- Frequently Asked Questions
為什麼在 OpenWrt 上用 VPN?
在路由器层面設置 VPN 的好處很明顯:
- 全域覆蓋:家庭或辦公網路中的所有裝置自動走 VPN,免去逐台裝置設定。
- 隱私提升:你的外部 IP 變成 VPN 服務器 IP,減少被追蹤的可能性。
- 內容解鎖與跨境訪問:在特定地區受限的內容,透過位於其他地區的服務器訪問。
- 避免公眾 Wi‑Fi 的風險:離開工作日,連到咖啡館 Wi‑Fi 也更安全。
在 OpenWrt 上,透過官方軟體包和 LuCI 插件,設定過程變得直覺且可控。這比在單一裝置上安裝 VPN 客戶端更省事,並且便於集中管控與監控。
VPN 協議對比:WireGuard vs OpenVPN
- WireGuard
- 速度通常比 OpenVPN 快,延遲低,代碼量小,審計簡單。
- 配置相對簡單,密鑰管理以公私鑰方式完成。
- 穩定性好,但在某些網路環境中需要額外的 NAT/防火牆設定。
- OpenVPN
- 廣泛相容性與穩定性,支援多種認證方式與旗標。
- 設置較複雜,需要證書與伺服器端/客戶端配置。
- 效率通常不及 WireGuard,但在嚴格穿透與防火牆穿透方面經驗豐富。
在現代家庭/小型辦公環境,若追求速度與簡化維護,優先選用 WireGuard;若你需要與舊裝置或特定 VPN 服務整合,OpenVPN 仍是可靠選擇。
環境與前提條件
- OpenWrt 固件版本:建議使用相對較新版本(例如 22.x、23.x 系列),以確保軟體包支援與穩定性。
- 硬體需求:普通家用路由器即可,對 WireGuard 的 CPU 負載友好;若同時連接大量裝置,建議較高 CPU/WAN 的裝置。
- 網路連線:穩定的寬頻上行,避免 VPN 連線中途掉線。
- 伺服器端:你需要一個可連線的 VPN 服務器(自建或商業服務商提供的伺服器),並取得必要的位址、金鑰/憑證、憑證等資訊。
軟體包清單(OpenWrt 常見選擇):
- WireGuard:wireguard、luci-app-wireguard
- OpenVPN:openvpn、luci-app-openvpn
- DNS 與 NAT:luci-app-dnscrypt-proxy、luci-app-simple-firewall、kmod-ipt-nat
- 與(選用)客製化路由策略:iproute2、lbm 或自定義路由表
方案一:WireGuard 全攻略
安裝與基礎配置
- 登入 OpenWrt 的管理介面,進入套件管理,安裝:
- uci system: install wireguard
- luci-app-wireguard
- kmod-wireguard
- luci2 至少包含 WireGuard 的前端
- 產生伺服端與客戶端金鑰對:
- 使用 WG 產生工具或在路由器上直接生成:私鑰與 公鑰
- 設定私鑰在伺服端,並設置對端公鑰
- 設定 interface 與 peer:
- 新增 Interface,選 WireGuard,設定私鑰、Listen Port。
- 新增 Peer,填入對端 Public Key、Allowed IPs(如 0.0.0.0/0, ::/0),Public Key、Endpoint(伺服器地址與埠),PersistentKeepalive(例如 25 秒)。
- 路由與 NAT:
- 將 VPN Interface 設定為「上網介面」(WAN)後,設定透過 VPN 的路由。
- 在防火牆設定中,允許 VPN 流量,並為 VPN 介面新增 NAT/MASQUERADE 規則。
生成密鑰與配置對端
- 對端(伺服器端)需要擁有對應的公鑰、私鑰,並設定一個以 VPN 對等為中心的網段(如 10.200.200.0/24)。
- 在伺服器上允許來自 VPN 子網的流量回到客戶端,同時允許外部訪問。
客戶端與路由策略
- 客戶端可在同一 LAN 網段中配置,或在家庭多個裝置上複製配置。
- 若要實現全域走 VPN,讓 Allowed IPs 設成 0.0.0.0/0, ::/0。
- 若要分流(只走特定流量走 VPN),可用策略路由:為某些 IP、目的地或應用設定 VPN 專用路由。
性能優化建議
- 使用 MTU 檢測:WireGuard 常用 MTU 為 1420,若遇到封包碎片或連線不穩,適當調整。
- Keepalive:PersistentKeepalive 設置在伺服端與客戶端都可提升 NAT 後的連線穩定性。
- CPU 限速與 QoS:若同時多裝置連線,適度設置 QoS,避免 VPN 封包阻塞影響整網。
WireGuard 範例設定片段(要點):
- Interface: PrivateKey = your_private_key, Address = 10.200.200.1/24, ListenPort = 51820
- Peer: PublicKey = server_public_key, AllowedIPs = 0.0.0.0/0, ::/0, Endpoint = your.server:51820, PersistentKeepalive = 25
方案二:OpenVPN 全攻略
安裝與基礎配置
- OpenWrt 安裝:
- 安裝 openvpn 與 luci-app-openvpn。
- 透過 LuCI 或 SSH 進行設定。
- 建立憑證與密鑰:
- 使用 Easy-RSA 或內建 OpenVPN 的 easy-rsa 類工具生成 CA、伺服器憑證、客戶端憑證,以及 Diffie-Hellman 參數。
- 將伺服器端配置檔與客戶端配置檔分別準備好。
- 伺服器設定範例(關鍵點):
- mode server
- port 1194
- proto udp
- dev tun
- server 10.8.0.0 255.255.255.0
- push “redirect-gateway def1″(讓客戶端全域走 VPN)
- push “dhcp-option DNS 1.1.1.1″、DNS 8.8.8.8
- 證書與金鑰路徑設定
- 防火牆與路由:
- 開放 OpenVPN 埠,允許 VPN 流量。
- 若要全域走 VPN,設定客戶端流量透過 VPN 介面。
證書與伺服器/客戶端配置
- 伺服器端需設定 ca.crt、 server.crt、 server.key、 ta.key 等,並配置 Cipher、Auth、Compression 等安全選項。
- 客戶端需包含 client 配置、ca.crt、 client.crt、 client.key、 ta.key。
路由與防火牆設定
- 設定 Firewall 規則,允許 tun0 或 openvpn 介面的流量。
- 設定 NAT 以確保從 VPN 子網出站的流量能正確回到外部網路。
- 推薦在 OpenVPN 伺服端開啟簽章校驗與 TLS 監控以提升安全性。
常見問題與排錯
- 連線不穩:檢查伺服器端日誌、OpenVPN 設定中的 keepalive、Ping 選項。
- DNS 泄漏:確認客戶端配置內的 DNS 設定,推送正確的 DNS 伺服器。
- 防火牆阻擋:檢查端口是否正確開放,是否有 ISP 阻擋特定協議。
DNS 與隱私保護
- 使用 DoH/DoT 或 DNS 加密解決方案,避免本地網路提供商監控 DNS 查詢。
- WireGuard 與 OpenVPN 都能提供加密隧道,但 DNS 泄漏風險需要額外處理:
- 將 DNS 設為可信任解析伺服器,例如 1.1.1.1、8.8.8.8 的加密對應方案。
- 適當設定阻止本地路由走未加密 DNS 的流量。
- 使用 kill-switch 功能,確保 VPN 斷線時流量不會自動切回本地網路。
多設備與分流策略
- WireGuard: 可在路由層面配置多個 peer,根據裝置的需求決定是否走 VPN。
- OpenVPN: 可以使用客戶端配置分流,或在路由表層添加策略,讓某些流量走 VPN、某些流量走直連。
- 分流實務:例如手機僅走網站的流量過 VPN,影音串流保持直連,以減少延遲與流量成本。
常見坑與解決辦法
- NAT 反向連線問題:確保 VPN 子網有適當的路由與 NAT 設定,並在伺服器端允許回應流量。
- MTU 與 Fragment:調整 MTU 以避免分片,WireGuard 常見為 1420 左右,OpenVPN 則視加密與伺服器配置而定。
- 自簽憑證信任問題:客戶端往往需要手動信任伺服端的 CA 憑證,確保路徑正確。
性能測試與基準
- 速度測試:在同一地區,WireGuard 的 throughput 通常高於 OpenVPN,延遲更低。實際數值會受伺服器距離、網路擁塞與加密等因素影響。
- 穩定性:長時間運行後,WireGuard 的穩定性通常比 OpenVPN 高,但也需注意客戶端與伺服端的同步與 Keepalive 設定。
- 硬體負載:對一般家用路由器,WireGuard 的 CPU 負荷較低,OpenVPN 在高連線數下可能更吃 CPU。
維保與更新
- 維護軟體版本:定期檢查 OpenWrt 的包更新,特別是 wireguard、openvpn、luci-app-* 類別。
- 安全性檢查:監控 VPN 金鑰過期時間,必要時進行重新產生。
- 日誌與監控:啟用日誌級別,留意異常重連、連線中斷等情況,及早排解。
資源與參考
- OpenWrt 官方文檔與指引
- WireGuard 官方網站與使用說明
- OpenVPN 官方網站與文檔
- VPN 伺服器提供商的設定指南(依你選用之服務而定)
- 路由器防火牆與 NAT 設定範例
Apple Website – apple.com
Artificial Intelligence Wikipedia – en.wikipedia.org/wiki/Artificial_intelligence
Google Cloud VPN – cloud.google.com/vpn
OpenWrt Wiki – openwrt.org
WireGuard Wiki – www.wireguard.com 路由器vpn怎么设置:完整指南與實用技巧,讓家用網路更安全
常見問題解答區(FAQ)
問題 1: OpenWrt 路由器適合做 VPN 伺服器嗎?
OpenWrt 路由器完全可以做 VPN 伺服器,WireGuard 與 OpenVPN 均有穩定的實作。對家用網路,WireGuard 的性能通常更好,設定也較簡單。
問題 2: WireGuard 與 OpenVPN 哪個更容易上手?
WireGuard 通常較容易上手,因為密鑰管理相對直接,設定檔較簡潔;OpenVPN 雖然穩定但需要更多憑證與伺服器設定。
問題 3: 如何避免 VPN 的 DNS 泄漏?
確保客戶端配置中指定使用 VPN 提供的 DNS 服務器,並啟用 kill-switch 以阻止未經 VPN 的流量。
問題 4: 全域走 VPN 的最佳實踐?
在大多數家庭情境中,選擇 WireGuard 的 0.0.0.0/0, ::/0 路由,並透過策略路由控制某些裝置或應用例外,減少延遲。 翻墙后国内网站打不开?别担心,这几个方法立刻解决 VPN 访问问题
問題 5: 如何測試 VPN 是否正常工作?
使用外部 IP 查詢工具查看當前公開 IP,確認是否為 VPN 伺服器 IP;執行 DNS 泄漏測試;測速並觀察穩定性。
問題 6: OpenWrt 路由器需要多強的硬體?
普通家用路由器就足以支援 WireGuard;如果同時有大量裝置或高流量需求,選擇具較高 CPU、更多 RAM 的裝置更穩定。
問題 7: VPN 伺服器端如何保護安全?
使用强密钥、定期更新憑證、限制連線來源、啟用 TLS/DTLS 等防護,並維持伺服器端日誌與監控。
問題 8: OpenVPN vs WireGuard 的加密強度?
兩者都提供強大的加密,WireGuard 採用現代化的加密組合,OpenVPN 的加密選項也很強,但需正確配置。
問題 9: 如何在 OpenWrt 上同時管理多個 VPN?
可以設定多個 WireGuard.peer 或 OpenVPN 服務,並透過策略路由與防火牆規則決定流量走向。 Ins怎么使用:VPNs 與網路私密保護完整指南
問題 10: 我該在家用網路實作哪種 VPN 策略?
若重視速度與簡單性, WireGuard 全域走 VPN 並搭配分流;若需要高兼容性與穩定性,採用 OpenVPN 並適當設定分流。
Sources:
Is Proton VPN Slow Here’s How to Speed It Up
Pc vpn github 电脑端 VPN 访问 GitHub 的完整指南:设置、对比与隐私保护