使用 docker 构建 openvpn 服务

一、docker-compose 配置(先不要启动)

version: "3"
services:
  openvpn:
    # network_mode: host # 设置为 host 模式网络
    container_name: openvpn
    image: kylemanna/openvpn:latest
    cap_add:
      - NET_ADMIN
    ports:
      - "11194:1194/udp"
    # environment:
    #   - TZ=Asia/Shanghai
    #   - SET_CONTAINER_TIMEZONE=true
    #   - CONTAINER_TIMEZONE=Asia/Shanghai
    volumes:
      - ./conf:/etc/openvpn
      - /usr/share/zoneinfo/Asia/Shanghai:/etc/localtime
    restart: always

二、生成配置文件

  • 初始化将$OVPN_DATA包含配置文件和证书的容器。容器将提示输入密码以保护新生成的证书颁发机构使用的私钥
OVPN_DATA="./conf"
docker volume create --name $OVPN_DATA
docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm kylemanna/openvpn ovpn_genconfig -u udp://VPN.SERVERNAME.COM
docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it kylemanna/openvpn ovpn_initpki

三、获取客户端配置文件

# 执行命令的时候和 docker-compose.yml 文件在同目录

export CLIENTNAME="your_client_name"
mkdir conf/client
docker-compose run --rm openvpn easyrsa build-client-full $CLIENTNAME nopass
docker-compose exec openvpn ovpn_getclient $CLIENTNAME > conf/client/$CLIENTNAME.ovpn

# 客户端启动命令

openvpn --daemon --config /etc/openvpn/your_client_name.conf --log-append /var/log/openvpn.log
# 服务端转发配置及防火墙配置
 /etc/sysctl.conf
net.ipv4.ip_forward=1

iptables -t nat -A POSTROUTING -s 10.10.100.0/24 -o eth0 -j MASQUERADE

四、配置用户名密码认证

  • 获取认证shell脚本
wget http://openvpn.se/files/other/checkpsw.sh
chmod +x checkpsw.sh
  • 修改 server 端配置文件,添加内容
### client-cert-not-required # 是否配置客户端TLS认证
auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env
script-security 3 # 2.4版本 需要配置为3,不然会认证失败
username-as-common-name
  • 创建用户名密码
echo "jeff 123456" >psw-file
  • 客户端添加以下内容
auth-user-pass

五、固定 vpn 客户端获取的地址

  • 修改 server 端配置文件,添加下面一行
client-config-dir ccd
  • 配置 IP 地址
在 ccd 目录下创建一个 $CLIENTNAME  文件,内容如下

ifconfig-push 172.16.1.100 255.255.0.0

六、配置LDAP登录

  • 修改server 端配置文件
# 删除
auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env
script-security 3
# 添加
plugin /usr/lib/openvpn/openvpn-auth-ldap.so "/etc/openvpn/ldap.conf

# ldap.conf 内容
<LDAP>
    URL     ldap://127.0.0.1:1389
    BindDN      cn=readonly,dc=lcs,dc=com
    Password    LYmo1BrpttFE
    Timeout     15
    TLSEnable   no
    FollowReferrals no
</LDAP>
<Authorization>
    BaseDN      "ou=Users,dc=lcs,dc=com"
    SearchFilter    "(&(cn=%u)(memberof=cn=develop,ou=Groups,dc=lcs,dc=com))"
    RequireGroup    false
    <Group>
        BaseDN      "ou=Groups,dc=lcs,dc=com"
        SearchFilter    "cn=develop"
        MemberAttribute memberUid
    </Group>
</Authorization>

七、配置LDAP+MFA登录

sudo apt install openvpn-auth-ldap libnss-ldapd libpam-google-authenticator

参考文档:https://blog.thinkbox.dev/posts/0001-openvpn-ldap-auth/

八、配置文件说明

####################### server #############################
server 10.10.100.0 255.255.255.0
verb 3
key /etc/openvpn/pki/private/sh-vpn.amaxtest.com.key
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/sh-vpn.amaxtest.com.crt
dh /etc/openvpn/pki/dh.pem
tls-auth /etc/openvpn/pki/ta.key
key-direction 0
keepalive 10 60
persist-key
persist-tun

proto udp
# Rely on Docker to do port mapping, internally always 1194
port 11194
dev tun0
status /tmp/openvpn-status.log

user nobody
group nogroup
comp-lzo no

### Route Configurations Below
# 服务端以下网络不走vpn网络
route 192.168.4.0 255.255.252.0 net_gateway

### Push Configurations Below
# push "block-outside-dns"
push "comp-lzo no"

####################### client #############################
client
nobind
dev tun
remote-cert-tls server

remote xxxx 1194 udp

<key>
</cert>
<ca>
</ca>
key-direction 1
<tls-auth>
</tls-auth>
# 不添加 vpn 路由
route-nopull
# 客户端添加以下路由走vpn网络
route 10.10.100.0 255.255.255.0 vpn_gateway
route 192.168.4.0 255.255.252.0 vpn_gateway
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容