OpenWRT 配置 SFTP 远程文件传输与安全访问

mkdir -p /mnt/sftp_data
chown sftpuser:sftpuser /mnt/sftp_data
chmod 755 /mnt/sftp_data

4. 配置内网穿透以实现公网访问

由于家庭宽带通常分配的是动态内网 IP，无法直接从公网访问。我们需要使用内网穿透工具来建立安全隧道。本文以 cpolar 为例演示原理，其他类似工具（如 FRP、Ngrok）逻辑相似。

4.1 安装穿透工具

通过 SSH 下载公钥并添加仓库源：

wget -O cpolar-public.key http://openwrt.cpolar.com/releases/public.key
opkg-key add cpolar-public.key

添加仓库源（根据架构自动识别）：

echo "src/gz cpolar_packages http://openwrt.cpolar.com/releases/packages/$(. /etc/openwrt_release ; echo $DISTRIB_ARCH)" >> /etc/opkg/customfeeds.conf

更新并安装：

opkg update
opkg install cpolar luci-app-cpolar

4.2 配置隧道

1. Web 管理界面：在浏览器访问 OpenWRT 的 LuCI 界面，找到 cpolar 插件入口。
2. 绑定 Token：登录 cpolar 官网账号，获取 Auth Token，填入 OpenWRT 插件中的对应字段并保存。
3. 创建 TCP 隧道：
   • 协议：TCP
   • 本地地址：22（SFTP 默认端口）
   • 域名类型：随机域名（临时测试）或固定域名（长期稳定）
   • 地区：选择离您物理位置较近的节点（如 China VIP）

点击创建后，系统将生成一个公网地址和端口号。

4.3 验证连接

使用 FileZilla 或其他 SFTP 客户端：

• 主机：sftp://<公网地址>
• 端口：隧道分配的端口号
• 用户名/密码：OpenWRT 上的 sftpuser 凭证

连接成功后，您将看到远程文件系统结构，可以进行文件的上传和下载。

5. 固定远程连接地址

临时隧道地址可能会随时间变化或过期。为了长期稳定访问，建议配置固定公网地址。

1. 预留资源：在 cpolar 后台的'预留'界面，购买或申请固定的 TCP 地址资源。
2. 绑定隧道：回到隧道列表，编辑刚才创建的隧道，将预留的固定地址和端口粘贴进去。
3. 生效：保存后，公网访问地址将不再变动，适合自动化脚本或长期运维需求。

6. 安全加固建议

暴露 SFTP 服务到公网存在安全风险，请务必采取以下措施：

1. 密钥认证：禁用密码登录，仅允许 SSH 密钥对认证。在 ~/.ssh/authorized_keys 中添加公钥，并在 /etc/ssh/sshd_config 中设置 PasswordAuthentication no。
2. 修改默认端口：将 SSH/SFTP 监听端口从 22 改为非标准端口（如 2222），减少暴力破解尝试。
3. 防火墙策略：在 OpenWRT 防火墙中，仅允许特定 IP 段访问 SFTP 端口。
4. Fail2Ban：安装 fail2ban 监控日志，自动封禁多次失败登录的 IP。

7. 常见问题排查

• 连接超时：检查本地网络是否通畅，确认穿透服务是否在线。查看 OpenWRT 系统日志 /var/log/messages。
• 权限拒绝 (Permission Denied)：检查目标目录的属主和权限，确保 SFTP 用户有读写权限。注意 OpenWRT 的 /tmp 目录通常是只读的，建议挂载外部存储。
• SFTP 协议错误：确认客户端使用的协议是 SFTP 而非 FTP。FileZilla 中需选择'SFTP - SSH File Transfer Protocol'。

结语

通过上述步骤，您可以在 OpenWRT 设备上构建一个安全、稳定的远程文件传输通道。结合内网穿透技术与严格的安全配置，既能满足异地办公的数据同步需求，又能有效保障设备与数据的安全性。