初始化 PKI

khdsff1 2026-05-05 5 0

UBNT 设备上配置 OpenVPN 服务的完整指南：从基础到进阶

作为网络工程师,我们经常需要在企业或家庭环境中部署安全、可靠的远程访问方案，Ubiquiti Networks（简称 UBNT）设备因其高性能和易用性，成为许多中小型网络环境中的首选，OpenVPN 是一种开源且广泛支持的虚拟私人网络（VPN）协议，特别适合在 UBNT 的 EdgeRouter 或 UniFi Security Gateway（USG）等设备上进行部署，本文将详细介绍如何在 UBNT 设备上配置 OpenVPN 服务，包括证书生成、服务器端设置、客户端连接以及常见问题排查。

确保你的 UBNT 设备运行的是最新固件版本（EdgeOS v2.x 或 UniFi OS v6.x），并具备公网 IP 地址（或通过动态 DNS 解析），建议使用静态 IP 配置以避免连接中断。

第一步：生成 TLS 证书与密钥
OpenVPN 使用 TLS 协议实现加密通信，因此必须先生成 CA（证书颁发机构）、服务器证书和客户端证书，你可以使用 Easy-RSA 工具包（推荐在 Linux 主机或 Docker 容器中操作）：

./easyrsa build-ca nopass
./easyrsa gen-req server nopass
./easyrsa sign-req server server

生成完成后,将 ca.crt、server.crt 和 server.key 文件上传至 UBNT 设备（可通过 SCP 或 Web UI 的“文件管理”功能）。

第二步：在 UBNT 设备上配置 OpenVPN 服务器
登录 EdgeRouter 或 USG 的 CLI（或通过 Web 管理界面进入“Services > OpenVPN”）：

set service openvpn local-port 1194
set service openvpn protocol udp
set service openvpn mode server
set service openvpn tls-auth /config/auth/tls.key
set service openvpn ca-cert-file /config/auth/ca.crt
set service openvpn cert-file /config/auth/server.crt
set service openvpn key-file /config/auth/server.key
set service openvpn push-option "dhcp-option DNS 8.8.8.8"
set service openvpn push-option "dhcp-option DNS 8.8.4.4"
set service openvpn topology subnet
set service openvpn server-subnet 10.8.0.0/24

注意：tls-auth 是额外的安全层，用于防止 DoS 攻击，应提前生成（可用 openvpn --genkey --secret tls.key 创建）。

第三步：客户端配置
每个用户需生成独立证书，并提供一个 .ovpn 配置文件，示例内容如下：

client
dev tun
proto udp
remote your-public-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
tls-auth tls.key 1
verb 3

将此文件分发给用户后,即可通过 OpenVPN GUI（Windows/macOS）或 Tunnelblick（macOS）连接。

第四步：防火墙规则与 NAT 设置
确保路由器允许 UDP 1194 端口入站流量（如在 EdgeRouter 上添加）：

set firewall name WAN_IN rule 100 action accept
set firewall name WAN_IN rule 100 description "Allow OpenVPN"
set firewall name WAN_IN rule 100 protocol udp
set firewall name WAN_IN rule 100 destination port 1194

验证连接状态（CLI 执行 show openvpn status），并检查日志（log read | grep openvpn）定位异常。

通过上述步骤,你可以在 UBNT 设备上搭建一个稳定、加密的 OpenVPN 服务，该方案适用于远程办公、分支机构互联等多种场景，若遇到连接失败，优先检查证书匹配性、端口开放性和路由策略，熟练掌握这些配置，能显著提升网络运维效率和安全性。

初始化 PKI 第1张