作为一名网络工程师，我经常被问到：“如何用老毛子路由器（即华硕路由器）搭建一个稳定、安全的OpenVPN服务？”尤其在家庭办公、远程访问内网资源或保护上网隐私时，自建OpenVPN服务器成为许多用户的首选方案，本文将详细讲解如何在老毛子路由器上配置OpenVPN服务，无需额外硬件,仅靠原生固件即可完成。

确保你拥有以下条件：一台支持DD-WRT或官方固件的华硕路由器（如RT-AC68U、RT-AC86U等），一台运行Linux或Windows的电脑用于生成证书和客户端配置文件，以及一个公网IP地址（建议配合DDNS使用，避免IP变动导致连接失败）。

第一步是登录路由器管理界面（通常为192.168.1.1），进入“向导”>“VPN”>“OpenVPN服务器”，如果找不到此选项，请确认你的固件版本是否支持OpenVPN功能（建议使用最新版官方固件或梅林定制版），开启OpenVPN服务后，系统会自动创建一个证书颁发机构（CA）、服务器证书和密钥文件，这些文件默认存储在路由器的“/etc/openvpn”目录下,我们可以通过SSH或FTP访问它们。

第二步是生成客户端证书，这一步需要在另一台电脑上安装OpenSSL工具（Windows可用Git Bash或Cygwin，Linux直接命令行）,执行如下命令：

openssl req -new -x509 -days 365 -keyout ca.key -out ca.crt
openssl req -new -keyout server.key -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
openssl req -new -keyout client.key -out client.csr
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt

生成后，将ca.crt、client.crt和client.key上传至路由器指定目录，并修改权限（chmod 600）。

第三步是配置OpenVPN服务器参数，在路由器后台，设置端口（推荐1194）、协议（UDP更高效）、加密算法（AES-256-CBC）及DH密钥长度（2048位），关键一步是启用“推送路由”，让客户端能访问局域网设备（如NAS、摄像头），例如添加push "route 192.168.1.0 255.255.255.0"。

下载客户端配置文件（.ovpn），包含服务器IP、证书路径和认证信息，使用OpenVPN Connect客户端（手机/PC均可）导入该文件即可连接，测试时若失败，检查防火墙规则（允许1194端口入站）、路由器NAT转发设置,以及客户端日志中的错误提示。

老毛子路由器不仅性能强大，其内置OpenVPN服务功能完全满足个人和小型企业需求，通过上述步骤，你可以在不依赖第三方服务的前提下，构建一个私有、加密的远程访问通道，这对于保护敏感数据、绕过地域限制或实现智能家居远程控制，具有极高的实用价值，定期更新证书和固件,是保持网络安全的关键！