在现代家庭和小型企业网络中,越来越多的用户希望实现远程访问家中设备(如NAS、摄像头、智能家电等)或搭建个人云服务,而OpenWrt作为一款功能强大、开源灵活的嵌入式Linux系统,已成为许多高级用户的首选路由器操作系统,本文将详细介绍如何通过OpenWrt配置VPN穿透(即内网穿透),让你无论身处何地都能安全稳定地访问局域网资源。
明确“VPN穿透”并非传统意义上的“端口映射”,而是通过建立加密隧道(如WireGuard、OpenVPN)将外部请求转发到本地网络内部,这不仅提高了安全性,还避免了公网IP不足或NAT限制的问题。
第一步:准备阶段
确保你的OpenWrt路由器已刷入最新版本固件(建议使用LEDE 19.07或更高版本),并具备公网IP地址(若无,可申请动态DNS服务如No-IP、DuckDNS),准备好一台远程服务器(可用VPS,如阿里云、腾讯云、DigitalOcean等),用于搭建VPN服务端。
第二步:安装与配置WireGuard(推荐)
WireGuard是一种轻量级、高性能的现代VPN协议,非常适合在OpenWrt上运行,登录OpenWrt管理界面(通常为192.168.1.1),进入“软件包”页面,搜索并安装wireguard-tools和kmod-wireguard模块。
在“网络 → 接口”中添加一个新的接口,命名为“wg0”,设置其为“静态IP”,例如10.0.0.1/24,并启用“DHCP服务器”。
生成密钥对(可在命令行执行 wg genkey 和 wg pubkey):
wg genkey | tee privatekey | wg pubkey > publickey
将生成的私钥保存在路由器本地,公钥则用于远程服务器配置。
第三步:配置远程服务器端
在VPS上安装WireGuard(Ubuntu为例):
sudo apt install wireguard
创建配置文件 /etc/wireguard/wg0.conf如下(需替换为你自己的公钥和IP):
[Interface]
PrivateKey = <your-server-private-key>
Address = 10.0.0.2/24
ListenPort = 51820
[Peer]
PublicKey = <your-router-public-key>
AllowedIPs = 10.0.0.1/32启动服务:sudo wg-quick up wg0,并设置开机自启。
第四步:路由与防火墙设置
在OpenWrt中,编辑/etc/config/firewall,添加规则允许来自wg0的流量通过:
config rule
option name 'Allow-WireGuard'
option src 'wan'
option proto 'udp'
option dest_port '51820'
option target 'ACCEPT'测试连接:从远程机器执行 wg-quick up wg0,成功后即可ping通10.0.0.1,说明隧道已建立。
至此,你已完成基于OpenWrt的VPN穿透配置!未来可通过该隧道访问家中的任何设备,如SSH、Web服务、NAS等,相比传统端口映射,这种方式更安全、更可控,尤其适合对隐私要求高的用户。
OpenWrt + WireGuard 是一套高效、易维护的内网穿透解决方案,掌握此技能,不仅能提升网络灵活性,也为构建家庭自动化、远程办公打下坚实基础,建议新手先在测试环境演练,再部署生产环境。
VPN加速器|半仙VPN加速器-免费VPN梯子首选半仙VPN
