新手向导:轻松掌握Docker搭建OpenVPN
一、概述
OpenVPN是一个开源的VPN软件包,可以创建基于SSL/TLS的安全的VPN隧道,支持多种操作系统和平台。OpenVPN包含:社区版(Community Edition),商业版(Access Server)。
- openvpn
社区版是完全免费的,但是需要用户有一定的Linux和命令行的知识,以及自己配置和管理VPN服务器和客户端。社区版提供了OpenVPN Connect客户端,可以在Windows, macOS, Linux, Android和iOS上使用。
- openvpn-as
商业版是一个付费的VPN解决方案,提供了一个易于使用的Web界面,可以方便地管理和配置VPN服务器和客户端。商业版还提供了预配置的客户端软件,以及在多个云平台上部署的选项²。商业版提供了两个免费的VPN连接授权,可以用于试用³。
- CloudConnexa
CloudConnexa是OpenVPN的一个云端VPN解决方案,可以让您轻松地创建和管理安全的虚拟网络,无需自己安装和维护VPN服务器。CloudConnexa提供了多个全球区域的接入点,以及多种网络安全功能,如零信任访问、内容过滤、灵活的路由等。CloudConnexa还提供了三个免费的VPN连接授权,可以用于试用。
二、安装
以下我们来讲讲openvpn社区版的安装:
openvpn的安装包含两部分,即openvpn server及openvpn client。
2.1、Docker搭建openvpn server
准备好一台主机,并安装好docker(docker官网下载最新的安装包),下载openvpn镜像docker pull kylemanna/openvpn:2.4。kylemanna/openvpn是目前使用率最高的openvpn镜像。
1、使用openvpn生成配置文件
mkdir -p /data/openvpn docker run -v /data/openvpn:/etc/openvpn --rm kylemanna/openvpn ovpn_genconfig -u udp://xx.xx.xx.xx执行完命令后可在目录/data/openvpn中看到相应的配置文件;我这里使用的是upd方式,当然你也可以改成tcp://
2、初始化密钥文件
docker run -v /data/openvpn:/etc/openvpn --rm -it kylemanna/openvpn ovpn_initpki执行过程中需要先设置ca密码(如123456),Common Name可不设置直接按回车继续默认是server,接着需要输入ca密码更新密钥库以及生成crl文件;
3、生成客户端证书
docker run -v /data/openvpn:/etc/openvpn --rm -it kylemanna/openvpn easyrsa build-client-full openvpn-client nopass其中openvpn-client为自定义名称,你也可修改成自己定义的名称,生成的过程需要输入ca密码;
4、导出客户端的配置文件openvpn-client.ovpn
docker run -v /data/openvpn:/etc/openvpn --rm kylemanna/openvpn ovpn_getclient openvpn-client > /data/openvpn/openvpn-client.ovpn注意openvpn-client名称需与第三步生成时命名一致,此时生成的配置文件openvpn-client.ovpn即可用于客户端连接;
5、启动openvpn
docker run -v /data/openvpn:/etc/openvpn \ -d -p 1194:1194/udp --restart=always --name openvpn \ --cap-add=NET_ADMIN --sysctl net.ipv6.conf.all.disable_ipv6=0 \ --sysctl net.ipv6.conf.default.forwarding=1 --sysctl net.ipv6.conf.all.forwarding=1 \ kylemanna/openvpn注意防火墙是否关闭,没关闭需要开放1194为udp端口。到这里openvpn服务端就安装完成了。
2.2、Windows安装openvpn client
1、下载相应的客户端并安装,openvpn客户端有linux、windows及移动端各种版本。
2、获取客户端配置文件
按上面的步骤操作后,会在/data/openvpn目录中找到openvpn-client.ovpn文件。下载到windows机器,然后双击就可以导入并连接到openvpn server。
3、openvpn-client.ovpn
client nobind dev tun remote-cert-tls server remote ip port udp remote ip port udp remote ip port udp remote ip port udpopenvpn client可以配置多个openvpn server节点,每个remote就是一个openvpn server节点,一般可以设置为随机或顺序的方式。当某个节点不行时,客户端会按照相应的方式连接其它节点。另外openvpn-client默认是全局代码的方式,我们也可以通过中openvpn-client.ovpn中配置route来实现局部代理。
2.3、Linux安装openvpn client
apt install apt-transport-https curl mkdir -p /etc/apt/keyrings ### This might not exist in all distributions curl -sSfL https://packages.openvpn.net/packages-repo.gpg >/etc/apt/keyrings/openvpn.asc下面的变量${DISTRIBUTION}需要替换成相应的值
echo "deb [signed-by=/etc/apt/keyrings/openvpn.asc] https://packages.openvpn.net/openvpn3/debian ${DISTRIBUTION} main" >>/etc/apt/sources.list.d/openvpn3.list
我当前系统是Ubuntu20所以换成focal
echo "deb [signed-by=/etc/apt/keyrings/openvpn.asc] https://packages.openvpn.net/openvpn3/debian focal main" >>/etc/apt/sources.list.d/openvpn3.listapt update apt install openvpn3安装完成后,${MY_CONFIGURATION_FILE}就是openvpn-client.ovpn文件
openvpn3 session-start --config ${MY_CONFIGURATION_FILE}