OpenWRT 路由器安装 OpenVPN：实战配置与性能优化

• 为什么在 OpenWRT 上跑 OpenVPN 仍然常见？
• 先聊常见场景与面临的挑战
• 在 OpenWRT 上安装与准备（思路说明，非命令清单）
• 常见配置陷阱与排查思路
• 性能优化：从协议到内核的全链路思考
• 1) 加密套件与硬件能力匹配
• 2) 协议选择与 MTU 调整
• 3) 减少不必要的负载
• 4) 利用 OpenWRT 的流量加速特性
• 5) QoS 与缓冲控制
• 策略路由与多链路场景
• 监控、测试与维护要点
• 实战小结（要点速览）

为什么在 OpenWRT 上跑 OpenVPN 仍然常见？

很多人把翻墙/远程访问的首选直接跳到 WireGuard 或商业路由器，但 OpenVPN 在兼容性、成熟度和服务端可控性上依然有优势。把 OpenVPN 部署到 OpenWRT 路由器，可以实现整网走隧道、单设备策略路由、甚至在没有 VPN 原生支持的客户端上提供透明代理。要做到稳定且性能可用，除了会安装和连接，还要理解路由器的硬件瓶颈、内核网络栈和 OpenVPN 的参数会如何影响吞吐与延迟。

先聊常见场景与面临的挑战

常见需求包含整网走 VPN（所有流量经外服），子网分流（仅特定内网或目标走 VPN），多运营商/备份链路自动切换等。挑战主要来自三方面：

• 硬件：路由器 CPU 性能及是否有硬件加速（如 AES-NI、硬件 NAT）决定加密与转发上限。
• 网络：MTU/分片、UDP vs TCP、丢包重传会显著影响体验。
• 软件配置：不当的加密套件、日志级别或防火墙策略会拖慢速度或导致路由冲突。

在 OpenWRT 上安装与准备（思路说明，非命令清单）

安装流程由两部分构成：包管理与系统准备。需要在 OpenWRT 上安装 OpenVPN 运行时、管理界面（可选 LuCI 插件）以及必要的内核模块（如 tun 设备）。随后确认防火墙、DHCP/ DNS 的交互方式，以避免开启隧道后导致 DNS 泄漏或路由环路。

关键点：

• 确认 tun 模块可用，确保内核支持虚拟网口。
• 选择合适的 OpenVPN 构建（OpenSSL 与 mbedTLS 在性能与包体积上不同，低端设备可考虑体积更小的实现）。
• 在 LuCI 或 UCI 中配置客户端或服务端项，设定远程地址、端口、协议（UDP 通常更快）及证书/预共享密钥。
• 设置防火墙 zone，把 tun 接口放入合适的 zone，启用 masquerade（NAT）以便内网访问外网。

常见配置陷阱与排查思路

很多初装问题不是 OpenVPN 本身，而是路由/防火墙与 DNS 配置。排查顺序建议是：

• 对端连接是否建立（握手成功、证书/密钥无误）。
• 隧道接口是否创建并获得 IP（tun0/ tun1）。
• 路由表是否指向隧道，默认路由被替换或策略路由是否生效。
• DNS 是否仍然向原上游解析，导致域名请求走直连（DNS 泄漏）。
• 查看是否有 MTU/分片导致的网页加载缓慢或断开。

性能优化：从协议到内核的全链路思考

把速度当成第一优先项时，优化策略应覆盖加密选择、网络层与路由器特性。

1) 加密套件与硬件能力匹配

较新的密码套件（例如 AEAD 模式的 AES-GCM）在性能与安全性上表现更好。如果路由器 CPU 支持 AES 硬件加速（如部分 x86/ARM SoC），优先使用对硬件友好的算法。低端设备考虑使用较轻量的加密参数或把加密密集型工作放到服务器端（例如使用服务端做加密卸载）。

2) 协议选择与 MTU 调整

UDP 通常比 TCP 快且延迟更低，避免在 OpenVPN 上使用 TCP 包裹 TCP（会有 TCP 混杂问题）。根据路径 MTU 手动或自动调小隧道 MTU，避免分片。配合 firewall 的 MSS clamping 可以减少 TCP 分段问题，改善网页与连接稳定性。

3) 减少不必要的负载

尽量关闭 OpenVPN 的高频日志、避免启用压缩（如 LZO），因为压缩在现代加密通道下带来的收益有限且 CPU 占用高。关闭不必要的功能可以腾出 CPU 给加密/IDLE。

4) 利用 OpenWRT 的流量加速特性

较新版本 OpenWRT 提供 flow offloading、hardware NAT 等选项，在允许的情况下开启可以显著提升转发性能。但这些加速方案对使用 VPN 的场景有限制：若流量被隧道加密，某些流控/加速会失效。因此只在直连或非加密链路上启用，并测试对 OpenVPN 流量是否有副作用。

5) QoS 与缓冲控制

在拥塞环境下，SQM（智能排队管理）能够防止上游排队膨胀导致的高延迟。即使 VPN 提供高带宽，如果上游链路抖动，合理的队列管理能显著提升交互式体验（比如视频通话）。

策略路由与多链路场景

如果路由器有多条上行链路或需要实现备份/负载分担，建议使用 mwan3 或更高级的策略路由模块把流量按源/目标/端口分类到不同的出口。对于部分设备，配置“某些设备走 VPN，其他设备直连”可以通过策略路由结合防火墙 mark 实现。务必在策略更改后逐项验证 DNS、内网访问与端口映射是否仍然正常。

监控、测试与维护要点

对于性能评估，要使用端到端的测量：特定客户端到公网的实际下载、延迟与抖动；同时观察路由器的 CPU、内存与中断占用。定期检查证书有效期、自动重连策略以及日志轮转，避免日志过大影响闪存寿命。

实战小结（要点速览）

• 小路由器想要高吞吐比特率受限于 CPU，优先考虑设备选型与是否具备加速。
• 选 UDP + AEAD（如 AES-GCM）能在多数场景下兼顾速度与安全。
• 合理调节 MTU/MSS、关闭压缩、减少日志，能带来即时性能提升。
• SQM 能改善交互体验，flow offload 仅在不加密链路生效。
• 策略路由与防火墙配合是实现部分设备走 VPN 的关键，测试 DNS 行为尤为重要。

通过对硬件、协议与 OpenWRT 网络栈的综合优化，OpenVPN 在家庭或小型办公室路由器上仍然是可行的整网 VPN 方案。懂得在不同层面取舍，并结合监控数据进行持续调优，能让这套组合既稳定又具备实用性能。