我完全理解你的需求——不想折腾路由器，只通过调整Windows 11上的OpenVPN服务器配置，实现VPN客户端访问服务器所在局域网设备的目标。结合你提到的WinTun适配器、VPN网段（10.20.0.0/24）的情况，我给你梳理下具体可落地的操作步骤：

一、修改OpenVPN服务器配置文件 #

找到你的OpenVPN服务器配置文件（通常是.ovpn格式），添加以下关键配置项：

• 推送局域网路由给客户端：把下面的网段替换成你服务器实际所在的局域网网段（比如你提到的1开头的网段，假设是192.168.1.0/24）：

  push "route 192.168.1.0 255.255.255.0"
  

  这一步是让客户端明确：访问服务器局域网设备的流量，需要走VPN通道传输。
• 适配WinTun的拓扑与通信规则：

  client-to-client
  topology subnet
  

  client-to-client允许VPN客户端之间直接通信，topology subnet则适配WinTun适配器的子网拓扑模式。

二、开启Windows 11的IP转发功能 #

Windows默认关闭了IP转发，这是跨网段流量通行的基础，需要手动开启：

1. 以管理员身份打开命令提示符（CMD）或PowerShell；
2. 执行命令修改注册表开启全局IP转发：

   reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v IPEnableRouter /t REG_DWORD /d 1 /f
   

3. 重启你的Windows 11服务器，让注册表修改生效。

三、配置Windows NAT地址转换 #

客户端的VPN网段（10.20.0.0/24）和服务器局域网网段属于不同网络，需要通过NAT转换实现流量互通：

1. 先确认服务器的两个关键网卡名称：
   • WinTun类型的OpenVPN接口（可在「网络和共享中心」→「更改适配器设置」里找到，通常命名为OpenVPN Wintun）；
   • 服务器连接本地局域网的网卡（比如以太网或Wi-Fi）。
2. 在管理员命令提示符中执行以下命令（替换成你的实际网卡名称）：

   netsh interface ip nat add interface "以太网" type=private
   netsh interface ip nat add interface "OpenVPN Wintun" type=public
   

   这一步将局域网网卡标记为私有接口，VPN网卡标记为公有接口，系统会自动完成两个网段之间的NAT地址转换。

四、调整Windows防火墙规则 #

确保防火墙不会拦截VPN到局域网的流量：

1. 打开「Windows Defender防火墙」→「高级设置」；
2. 在「入站规则」中添加一条规则：允许来自10.20.0.0/24网段的所有流量；
3. 在「出站规则」中添加一条规则：允许到服务器局域网网段（比如192.168.1.0/24）的所有流量。
   （如果测试时遇到问题，可以暂时关闭防火墙验证是否是防火墙的限制，之后再恢复规则）

五、客户端验证 #

客户端连接VPN后，尝试ping服务器局域网内的设备IP（比如服务器自身的局域网IP），如果能通，说明配置生效。如果还是不通，可以排查：

• 服务器局域网内的设备是否开启了防火墙，允许来自VPN网段的访问；
• 客户端的路由表是否包含服务器局域网的路由（可在客户端执行route print查看）。

备注：内容来源于stack exchange，提问作者Álvaro García