发布于 2015-12-25 21:24:48 | 2085 次阅读 | 评论: 0 | 来源: PHPERZ

这里有新鲜出炉的精品教程，程序狗速度看过来！

OpenWrt 开源路由器第三方固件

OpenWrt 项目由 2004 年 1 月开始, 第一个版本是基于 Linksys 提供的 GPL 源码及 uclibc 中的 buildroot 项目, 这个版本称为 “stable” 版, 在网上至今仍有很多项目使用这个版本, 较为有名 Freifunk-Firmware 和 Sip@Home.

---

照说OpenWRT下实现openvpn的接入应该不难，但是经过实际动手的时候发现还是蛮多坑的。中国的OpenWRT社区也是杂乱无章，找些有用的东西实在太难。这两天看了不少openvpn和OpenWRT官方的英文文档，总算完美的实现了自己的需求。总结出来贡献给大家，少走弯路。

废话不多少进入正题

1、首先你要有一个运行有OpenWRT系统的路由器，配置不要太低，版本不要太旧。我现在的路由是14.09版本的，内核版本3.14，还是蛮新的。实在没有的可以联系我购买。我的是580Mhz的处理器，32MB ROM，128M RAM 的配置。

2、然后是安装

opkg update
opkg install openvpn-openssl

3、上传证书及密钥到路由器中，例如我上传的是/root/vpn/目录下。

4、配置UCI

我上网找了很多文章，配置方法都是直接编写配置文件然后使用openvpn --config name.conf的方式运行。虽然这种方法也能成功运行，但是不利于维护和管理，容易出问题。openwrt提供了统一的UCI配置接口，简单稳定还是建议采用UCI的方式。

vim /etc/config/openvpn

#先删掉原有的配置，添加如下配置

config openvpn name_config    #后面的name_config可以随便改
    option enabled 1    #1为启用配置
    option config /root/vpn/config    #引用配置文件

config openvpn name1_config    #如果想要同时连多台服务器需要加上
    option enabled 1
    option config /root/vpn/config2
    

5、编辑openvpn配置文件

vim /root/vpn/config

client    #客户端模式
dev tun    #如果同时连多个请指定tun序号
proto udp    #udp效率最高
remote IP 1194    #服务端地址与端口
resolv-retry infinite
nobind    #不绑定固定端口
#user nobody    #运行权限
#group nogroup
persist-key    #key保持
persist-tun    #接口保持
ca ca.crt
cert client.crt
key client.key
tls-auth takey.key 1
#auth-user-pass
cipher AES-256-CBC    #加密算法，与服务端一致
comp-lzo    #启用压缩，需服务端支持
verb 3    #日志级别
mute 20    #合并相同日志
mssfix 1400    #修改mss单元大小

6、测试是否能正常连接

logread -f    #openwrt下查看日志的方法。

新开一个窗口，或使用tmux新建一个面板。

/etc/init.d/openvpn restart

过十多秒后，ping对端的IP，如果能正常连通，说明已正常连通，如果不能请查日志。

这时候你会发现只能在路由器中ping得通，但是接在路由器中的其他电脑确不能，这是因为iptables还缺乏相应规则。需要添加：

iptables -I FORWARD -o tun0 -j ACCEPT
iptables -t nat -I POSTROUTING -s 路由器网段 -d 对端网段 -o tun0 -j MASQUERADE

7、实现openvpn连接后自动添加iptables规则

创建shell脚本up.sh

#!/bin/sh
iptables -I FORWARD -o tun0 -j ACCEPT
iptables -t nat -I POSTROUTING -s 路由器网段 -d 对端网段 -o tun0 -j MASQUERADE

还需要创建down.sh脚本，断开连接后删除相应的规则

#!/bin/sh
iptables -D FORWARD -o tun0 -j ACCEPT
iptables -t nat -D POSTROUTING -s 192.168.11.0/24 -d 192.168.6.0/24 -o tun0 -j MASQUERADE

在openvpn配置文件中调用

vim /root/vpn/config
#在文件结尾追加
script-security 2
up /root/vpn/up.sh
down /root/vpn/down.sh

别忘了给脚本文件添加权限chmod +x up.sh,chmod +x down.sh

有一点需要注意：如果要添加up与down的脚本，前面的配置文件里就不能以nobody的身份运行的配置

8、使openvpn服务能开机自动运行

/etc/init.d/openvpn enable
/etc/init.d/openvpn restart