在当今远程办公、跨地域访问内网资源日益频繁的背景下，构建一个安全、可控且性能稳定的个人VPN服务显得尤为重要，作为网络工程师，我推荐使用LEDE（现为OpenWrt）这一开源嵌入式Linux系统来搭建轻量级、高可定制性的VPN服务器，本文将详细介绍如何在基于LEDE/OpenWrt的路由器上部署OpenVPN服务，实现多设备接入、加密传输与灵活策略控制。

确保你的路由器支持LEDE/OpenWrt固件，常见支持设备包括TP-Link TL-WR840N、Netgear WNDR3700等经典款，可通过OpenWrt官网查询兼容性列表，安装完成后，通过SSH登录到路由器（默认IP为192.168.1.1，用户名root，密码admin或你自定义的密码），并更新系统包列表：

opkg update

安装OpenVPN及相关依赖组件：

opkg install openvpn-openssl ca-certificates

安装完成后,我们进入证书配置阶段，OpenVPN依赖PKI（公钥基础设施）进行身份认证，因此需生成服务器证书、客户端证书及CA根证书，建议使用easy-rsa工具简化流程，该工具通常已包含在OpenWrt中，若未安装可执行：

opkg install easy-rsa

创建证书目录并初始化：

mkdir -p /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
cp -r /usr/share/easy-rsa/* .
./vars
./clean-all
./build-ca
./build-key-server server
./build-key client1

上述命令会生成CA根证书、服务器证书和客户端证书，注意，每个客户端都需要单独生成证书，便于管理与权限控制。

完成证书配置后,创建OpenVPN服务配置文件 /etc/openvpn/server.conf示例如下：

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

此配置启用UDP协议、TUN模式、自动分配私有IP段（10.8.0.0/24）、推送DNS设置，并开启压缩功能提升传输效率。

配置完成后,启动OpenVPN服务：

/etc/init.d/openvpn start
/etc/init.d/openvpn enable

你可以将客户端证书（client1.crt、client1.key、ca.crt）打包成.ovpn配置文件，供Windows、Android或iOS设备导入使用，典型客户端配置如下：

client
dev tun
proto udp
remote your-router-ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

为保障安全性,建议添加防火墙规则允许OpenVPN端口（1194/udp）通过，并根据需要配置IPTables规则限制访问源IP或启用日志记录。

通过以上步骤,你就可以在LEDE/OpenWrt路由器上成功搭建一个稳定、加密、易于维护的个人VPN服务，它不仅满足家庭成员远程访问内网需求，还能作为企业分支机构的安全隧道，是现代网络架构中不可或缺的一环。