作为一名网络工程师,我经常遇到用户在使用老毛子（即OpenWrt系统）路由器时，希望搭建自己的VPN服务来实现隐私保护、访问境外资源或提升网络安全性，本文将详细介绍如何在老毛子路由器上设置和配置VPN，涵盖L2TP/IPSec、PPTP、OpenVPN及WireGuard等主流协议，适合有一定Linux基础的用户参考。

确保你的路由器已刷入OpenWrt固件,推荐使用官方支持版本（如LEDE 21.02.x 或 OpenWrt 22.03），并备份原厂固件以防万一，刷机完成后，通过SSH登录路由器（默认IP为192.168.1.1，用户名root，无密码或需设置初始密码）。

第一步：安装必要的软件包
在终端执行以下命令安装常用VPN服务组件：

opkg update
opkg install kmod-ipt-nat6 kmod-ipt-conntrack6
opkg install xl2tpd ppp-mod-pptp openvpn-openssl

若要使用WireGuard,可额外安装：

opkg install kmod-wireguard wireguard-tools

第二步：配置L2TP/IPSec（适用于大多数安卓/iOS设备）
编辑 /etc/ppp/options.l2tpd 文件，添加如下内容：

require-mschap-v2
refuse-pap
refuse-chap
refuse-eap
ms-dns 8.8.8.8
ms-dns 8.8.4.4

接着配置xl2tpd服务,在 /etc/xl2tpd/xl2tpd.conf 中添加：

[lns default]
ip range = 192.168.100.100-192.168.100.200
local ip = 192.168.100.1
require chap = yes
refuse pap = yes
require authentication = yes
name = l2tpd
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd

最后配置IPSec预共享密钥,在 /etc/ipsec.conf 中加入：

conn L2TP-PSK-NAT
    rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    rekey=no
    keylife=1h
    type=transport
    left=YOUR_ROUTER_IP
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/1701

记得设置 ipsec.secrets 文件中的密钥。

第三步：启用OpenVPN（推荐用于稳定性和安全性）
下载服务器证书（如使用自签名CA），创建配置文件 /etc/openvpn/server.conf，示例如下：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

启动服务：

/etc/init.d/openvpn start
/etc/init.d/openvpn enable

第四步：高级优化与安全建议

• 启用防火墙规则限制仅允许特定IP访问VPN端口（如iptables -A INPUT -p udp --dport 1194 -j ACCEPT）。
• 使用DDNS服务绑定动态公网IP,便于远程连接。
• 定期更新OpenWrt固件和VPN软件包以修复漏洞。
• 启用日志监控（如rsyslog）跟踪异常登录行为。

老毛子路由器作为开源软路由平台,具备强大的灵活性和扩展性，通过合理配置不同类型的VPN协议，用户可以构建私密、高速且可控的网络环境，无论你是想翻墙浏览国外网站，还是搭建企业级远程接入方案，这套流程都能满足需求，合法合规使用是前提，切勿用于非法用途。