OpenWRT 路由器 OpenConnect VPN 详细图文教程 – 基础配置篇
|
network
|
38

1471 字
|
7 分钟
本文最后更新于478 天前,其中的信息可能已经过时,如有错误请发送邮件到84581927@qq.com

前言

博主早年一直认为在家中部署 VPN并没有实际意义,使用体验也不佳.随着宽带和网络技术的进步,家用 NAS 等设备的普及,加上对不可描述的网络需求,使用 OpenWRT软路由作为网络核心,使得整个家庭网络变得非常的重要和丰富.让大家从外网通过 VPN 连接到家里变得更加有意义了.

选择 VPN

博主并没有深入研究各种 VPN 的协议和使用区别,对于用户体验,安全性,便捷性没有概念.好在有一位对网络知识非常了解的朋友强烈推荐和指导,最终选择了在 OpenWRT路由器上配置了 OpenConnect VPN服务的方案.经过简单尝试,体验超乎想象.

在配置过程中,网上找到的一些技术参考文章大多都不太详细和完整.所以博主重新整理了服务端和客户端的配置流程,并详细讲述利用最安全和方便的证书模式来登录 VPN.由于图文略长,将分为基础配置和证书配置两篇文章讲解.

服务端

前提需求

  • openwrt 路由器或其他能够部署 OpenConnect VPN 的设备
  • 建议 上行 30M的宽带以保证使用体验
  • 拥有 公网 IP并配置端口映射

本文以 openwrt 路由器内网网段 192.168.1.0 为例.

基本设置

登录 OpenWRT路由器,打开 服务 – OpenConnect VPN.

勾选 Enable server 启动服务

默认端口为 4443,默认 VPN 网段为 192.168.100.0,根据情况自行更改.

DNS server 填写当前内网网段的DNS.

Routing table

路由表根据需求有两种设置方法

全局代理 – 当客户端连接 VPN 后,客户端所有 内外网访问都将通过 VPN 所在的局域网代理.如下图 删除所有 Routing table即可.

常规情况下推荐使用此方法连接

内网代理 – 当客户端连接 VPN 后,客户端所有 内网访问通过 VPN 所在的局域网代理,而 外网访问则保持使用客户端当前网络.如下图添加 内网和 VPN两个网段即可.

此方法连接 VPN 后可访问内网设备,例如访问 http://192.168.1.4:5000 的群晖.其他互联网访问请求还是走当前网络.

编辑模版

默认模版并不影响使用,只是如下图在通过 DDNS域名连接 VPN 时会提示 服务器或证书不受信任,可以点击 Connect Anyway或者 更改设置继续登录.

可以参考以下步骤部署 DDNS 域名证书.

为避免误操作模版导致无法启动服务.提供一份默认模版备用.请别问我为什么!
模版中查找以下字段:

12<pre class=“inline:true decode:1 “>server–cert=/etc/ocserv/server–cert.pemserver–key=/etc/ocserv/server–key.pem

将 DDNS域名证书上传并修改路径.例如:

12<pre class=“inline:true decode:1 “>server–cert=/etc/uhttpd.crtserver–key=/etc/uhttpd.key

用户设置

在用户设置中创建用于 VPN 连接的账号和密码. Active users会显示当前连接的用户状态.

如希望使用证书模式登录,此处可以无需配置用户.详情参考下篇文章.

防火墙设置

添加以下三条记录,允许客户端使用路由器转发流量,重启防火墙生效.

123<pre class=“inline:true decode:1 “>iptables–tnat–IPOSTROUTING–s192.168.100.0/24–jMASQUERADEiptables–IFORWARD–ivpns+–s192.168.100.0/24–jACCEPTiptables–IINPUT–ivpns+–s192.168.100.0/24–jACCEPT

注意下图中,如果和我一样有两条 53 结尾的记录,需注释掉,否则可能会导致连接 VPN 成功,却无法访问网站.此两条记录应该是 L 大的固件默认禁用 DNS 转发的规则,如果需要用到 AdGuard,OpenConnect 等插件则需要注释掉.

端口映射

默认端口为 4443,添加端口映射到 路由器IP完成所有配置.

完成配置

服务端的基础配置完成,现在可以下载客户端,使用账号和密码登录连接 VPN.

客户端

下载客户端,使用 DDNS 域名,端口加上账号密码登录.

客户端推荐使用安全,稳定,高效的 Cisco AnyConnect.
OpenConnect VPN 通过实现 Cisco 的 AnyConnect 协议,用 DTLS 作为主要的加密传输协议.
AnyConnect 的 VPN 协议默认使用 UDP DTLS 作为数据传输,如果因网络问题导致 UDP 传输出现问题,它会利用最初建立的 TCP TLS 通道作为备份通道,降低 VPN 断开的概率.使用了 TLS over UDP 技术,少了 TCP 握手和稳定的要求,这也是使用体验大幅提升的原因.

macOS 客户端仅需安装 VPN, 取消勾选其他组件.

结语

本文详细介绍了 openwrt 路由器 OpenConnect VPN 的基础配置,目前已经可以正常使用账号密码连接.如果希望通过部署自签 CA 根证书和用户证书来实现更安全和方便的登录需求

文末附加内容
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
Alpine linux包管理

							
							

							
PVE添加旧磁盘,重装系统,数据还在