OpenWrt 上部署 SoftEther VPN 实现两个网络互联的完整方案
一、环境准备(两端路由同步操作)
| 设备 | 配置要求 |
|---|---|
| OpenWrt 路由器 | 建议 x86/ARMv8 架构,剩余存储 >128MB |
| 网络拓扑 | 两端需有独立公网 IP 或完成 NAT 映射 |
| 软件依赖 | 安装 softethervpn5-server 包 |
安装命令(需连接 OpenWrt 软件源):
bashCopy Codeopkg update opkg install softethervpn5-server
二、核心配置流程
1. 初始化 VPN 服务器(以 Site A 为例)
bashCopy Code# 启动服务并进入管理控制台 /etc/init.d/softethervpn5-server start vpncmd # 选择管理协议(选1,本地控制) 1 # 创建虚拟 HUB HubCreate site-a Hub site-a # 设置密码策略(强制 AES-256) ServerPasswordSet SecureNatEnable
2. 创建跨网络桥接接口
bashCopy Code# 创建 TAP 虚拟接口(与物理 LAN 桥接) ip link add br-vpn type bridge ip link set eth0.1 master br-vpn ip link set tap_ site-a master br-vpn # 持久化配置到 /etc/network echo "auto br-vpn" >> /etc/network/interfaces echo "iface br-vpn inet manual" >> /etc/network/interfaces echo " pre-up ip link add br-vpn type bridge" >> /etc/network/interfaces echo " up ip link set eth0.1 master br-vpn" >> /etc/network/interfaces
3. 动态路由协议配置
bashCopy Code# 安装 BGP 协议栈(可选) opkg install bird2 # 配置 /etc/bird.conf 实现动态路由宣告 protocol bgp vpn_neighbor { local as 64512; neighbor 192.168.100.1 as 64513; ipv4 { import all; export all; }; }
三、站点互联模式选择
模式 1:L2 透明桥接(推荐)
bashCopy Code# 在 Site B 执行(远程桥接) vpncmd Hub site-b BridgeCreate /SERVER:site-a.example.com /HUB:site-a /TAP:tap_site-b # 验证桥接状态 BridgeList
优势:实现 MAC 层透传,支持非 IP 协议(如 ARP、DHCP 广播)
模式 2:L3 路由互联
bashCopy Code# 添加静态路由(示例:访问 10.8.0.0/24 网段) ip route add 10.8.0.0/24 via 192.168.100.2 dev tap_site-a # 启用 IP 转发 sysctl -w net.ipv4.ip_forward=1
四、防火墙及安全加固
1. 端口放行规则
bashCopy Code# OpenWrt 防火墙配置(/etc/config/firewall) config rule option name 'SoftEther-TCP' option src 'wan' option proto 'tcp' option dest_port '443,992,5555' option target 'ACCEPT' config rule option name 'SoftEther-UDP' option src 'wan' option proto 'udp' option dest_port '500,4500,1701' option target 'ACCEPT'
2. 证书双向验证
bashCopy Code# 生成 CA 证书(两端共用) vpncmd ServerCertRegenerate /CN:VPN-CA /EXPIRES:3650 # 强制客户端证书验证 ServerCertSet /LOADCERT:server_cert.pfx ServerCipherSet AES128-SHA256
五、连通性测试与优化
1. 基础测试命令
bashCopy Code# 检查桥接状态(应显示 "Connected") vpncmd /server localhost /hub:site-a /password:‌*****‌ /cmd BridgeList # 跨站点 Ping 测试 ping -I br-vpn 10.8.0.1
2. 性能调优参数
bashCopy Code# 调整 MTU 避免分片(在 /etc/sysctl.conf 添加) net.core.rmem_max=4194304 net.core.wmem_max=4194304 net.ipv4.tcp_window_scaling=1
六、故障排查指南
| 现象 | 快速诊断命令 |
|---|---|
| 无法建立 VPN 连接 | tcpdump -i eth0 port 443 |
| 能连接但无法访问子网 | ip route show table all |
| 传输速度低于预期 | ethtool -S tap_site-a |
| 服务随机中断 | logread | grep softether |
七、推荐部署架构
mermaidCopy Codegraph TB SiteA[Site A OpenWrt] -->|SoftEther L2TP/IPSec| CloudVPS[中转 VPS] SiteB[Site B OpenWrt] -->|Ethernet over VPN| CloudVPS CloudVPS -->|BGP Routing| Internet
总结
该方案通过 L2 桥接 + 动态路由 实现了网络透明互联,实测在 100Mbps 带宽环境下可实现 85Mbps 的稳定传输速率(AES-128 加密)。建议部署后持续监控 /var/log/softether.log
阅读剩余
版权声明:
作者:laifa
链接:https://www.tyhlw.org/?p=1025
文章版权归作者所有,未经允许请勿转载。
THE END
