OpenWrt 固件中运行 OpenVPN：手把手配置与性能优化

• 在 OpenWrt 上部署 OpenVPN：从配置到性能优化的实战指南
• 为何在路由器上运行 OpenVPN 会遇到性能问题
• 先理清几个核心概念
• 部署流程概览（不含命令示例）
• 实战优化清单（按优先级）
• 性能测试与验证方法
• 常见问题与排查方向
• 未来趋势与替代方案
• 总结要点（快速回顾）

在 OpenWrt 上部署 OpenVPN：从配置到性能优化的实战指南

在家用或小型办公环境里，很多人选择在路由器上直接运行 OpenVPN，以实现全局翻墙或细粒度的分流。把 OpenVPN 放到 OpenWrt 上能把客户端数量、带宽和延迟的瓶颈转移到家庭网关，但同时也带来配置复杂度与性能限制的挑战。下面把常见问题、关键原理和可落地的优化办法一并讲清楚，目标是让你的 OpenWrt + OpenVPN 更稳定、更快、可维护。

为何在路由器上运行 OpenVPN 会遇到性能问题

把 VPN 放到路由器上，本质上是把加解密、隧道封装和报文转发的工作都交给路由器处理。常见瓶颈包括：

• CPU 算力不足（尤其是无 AES-NI 的低端 ARM/MTK/ARMCortex-A）
• 不合理的 MTU/分片导致重复分片和重传
• 使用 TCP over TCP 或过多的握手/压缩增加延迟
• 防火墙、NAT、连接跟踪（conntrack）带来的额外开销
• 单线程处理导致多连接下的性能下降

先理清几个核心概念

TUN vs TAP — TUN 传输三层 IP 报文，开销小，适合常见的点对点隧道；TAP 模拟二层网卡，适用于需要桥接或广播的场景，但带宽开销和处理复杂度更高。

UDP vs TCP — UDP 为首选（低延迟、无拥塞重传影响），TCP over TCP 会导致双重重传、延迟剧增。

MTU / Fragmentation — VPN 隧道会额外添加头部，导致原始 MTU 太大时出现分片。分片不仅造成性能下降，还易触发防火墙策略。要通过正确设定 mtu、mss 和 pmtu 探测来避免。

加密与硬件加速 — 算法复杂度直接影响 CPU 占用。路由器若支持 AES-NI、ARMv8 Crypto Extensions 或厂商专用加密引擎（如某些 Qualcomm 芯片），可以大幅提升吞吐量。

部署流程概览（不含命令示例）

整体步骤可以分为：选择合适固件与包、生成证书并传入路由器、配置 OpenVPN 服务、调整防火墙与路由、验证与优化。

在 OpenWrt 上，常用组件包括 openvpn-openssl / openvpn-easy-rsa、luci-app-openvpn（便于图形配置）。证书和密钥可以在桌面上生成，然后通过 Web UI 或 SCP 上传到路由器，配置文件内设置证书路径、服务器地址、端口、协议、dev 类型等。另需在防火墙中允许 VPN 接口的转发和必要的 NAT 规则来实现内网流量走隧道。

实战优化清单（按优先级）

1. 优先选择 UDP 与 TUN：默认使用 UDP 协议和 TUN 模式，最大化吞吐量并降低延迟。

2. 调整加密套件：在安全可接受的前提下选择速度更快的套件（例如现代的 AEAD 套件如 AES-GCM 或 CHACHA20-POLY1305），同时避免过度复杂的 DH 参数。若路由器支持硬件加速，优先使用与硬件兼容的算法。

3. 控制 MTU 与 MSS：根据隧道头部大小调整 MTU（通常将上游 MTU 减去 40-60 字节作为参考），并在防火墙或客户端上设置 TCP MSS 限制以避免分片。

4. 关闭压缩（如果不是必须）：虽然压缩能在某些场景减少流量，但对现代加密和加密后流量往往效果有限，同时带来 VORACLE 等攻击面和 CPU 开销，建议关闭。

5. 使用 keepalive 和合理的重连策略：减少连接断开时的丢包恢复开销，设置合理的超时和保持活动参数以避免频繁的全握手。

6. 减少内核态到用户态的切换开销：尽量使用单一 tun 设备，多线程方案下可考虑多隧道或负载分担以绕过单核瓶颈。

7. 优化防火墙与 conntrack：对长连接场景适当调整 conntrack 超时时间，避免表项膨胀；对于大量小连接，适当放宽 iptables 规则链长度和复杂度。

8. 硬件选择与固件优化：若流量需求较高，选择具备硬件加速（AES、Crypto）、较高频率多核 CPU 的设备。可以考虑刷使用性能优化更好的 OpenWrt 版本或开启更激进的 CPU 调度与 IRQ 亲和设置。

性能测试与验证方法

推荐在三个层面进行验证：

• 链路层：使用基准测试工具（如 iperf）在 LAN 到 WAN 模式下测吞吐量，分别测试加密前后差异。
• 延迟测试：通过 ping、traceroute 测量隧道内外的时延和抖动。
• 负载观察：用 top 或 luci 的系统监控观察 CPU、内存、中断占用，确认是否有单一核满载的现象。

实际测试时，先关掉 QoS/SQM 等会影响测试结果的功能；在 WAN 带宽接近上限时观察 CPU 瓶颈与丢包情况。

常见问题与排查方向

速度走不满但 CPU 占用低：检查 MTU/分片、上游链路质量或服务器端限速；排除流量被中途 ISP 限制或速率峰值策略。

单核 100% 导致吞吐下降：考虑多隧道并行、迁移到更强的硬件，或将部分服务迁出路由器（例如把部分设备直连或使用旁路由）。

连接不稳定或频繁重连：查看 keepalive 设置、DHCP/ISP 掉线频率、或路由器电源/温度问题；同时确认服务器端的并发和防火墙策略。

未来趋势与替代方案

近年来 WireGuard 因其简洁、高效和易用性成为 OpenVPN 的有力替代，特别是在嵌入式设备上表现出更好的性能和更低的延迟。如果你追求更高的吞吐和更低的 CPU 占用，值得评估 WireGuard。但在需要复杂认证、PKI 或跨多平台兼容时，OpenVPN 仍然具有成熟的生态和灵活性。

此外，结合策略路由（policy-based routing）和分流工具可以实现按应用、按设备或按域名的灵活出站策略，从而在保证性能的同时实现更细粒度的访问控制。

总结要点（快速回顾）

在 OpenWrt 上运行 OpenVPN 成功的关键在于：选择合适的协议/模式（UDP+TUN）、选用性能与安全平衡的加密套件、控制 MTU/MSS、关闭不必要的压缩、利用硬件加速并做详尽的性能测试。遇到瓶颈时，先从 MTU、单核 CPU、conntrack 与防火墙规则着手排查，必要时考虑更换硬件或迁移到 WireGuard。