Centos7使用docker搭建openvpn
准备好一台主机,如公网ip为47.213.133.182,并安装好docker(docker官网下载最新的安装包),下载openvpn镜像docker pull kylemanna/openvpn:2.4
1、使用openvpn生成配置文件
mkdir -p /data/openvpn
docker run -v /data/openvpn:/etc/openvpn --rm kylemanna/openvpn:2.4 ovpn_genconfig -u udp://47.213.133.182
执行完命令后可在目录/data/openvpn中看到相应的配置文件;
2、初始化密钥文件
docker run -v /data/openvpn:/etc/openvpn --rm -it kylemanna/openvpn:2.4 ovpn_initpki
执行过程中需要先设置ca密码(如123456),Common Name可不设置直接按回车继续,接着需要输入ca密码更新密钥库以及生成crl文件;
3、生成客户端证书
docker run -v /data/openvpn:/etc/openvpn --rm -it kylemanna/openvpn:2.4 easyrsa build-client-full openvpn-client nopass
其中openvpn-client为自定义名称,生成的过程需要输入ca密码;
4、导出客户端的配置文件openvpn-client.ovpn
docker run -v /data/openvpn:/etc/openvpn --rm kylemanna/openvpn:2.4 ovpn_getclient openvpn-client > /data/openvpn/openvpn-client.ovpn
注意openvpn-client名称需与第三步生成时命名一致,此时生成的配置文件openvpn-client.ovpn即可用于客户端连接;
5、启动openvpn
docker run -v /data/openvpn:/etc/openvpn -d -p 1194:1194/udp --restart=always --name openvpn --cap-add=NET_ADMIN --sysctl net.ipv6.conf.all.disable_ipv6=0 --sysctl net.ipv6.conf.default.forwarding=1 --sysctl net.ipv6.conf.all.forwarding=1 kylemanna/openvpn:2.4
需要注意防火墙规则,其中1194为udp端口,可在其他机器上通过nc命令测试是否可连接
yum install nc -y
nc -vuz 47.213.133.182 1194
[root@ta6wkp3ir3ybrtef ~]# nc -vuz 47.213.133.182 1194
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Connected to 47.213.133.182:1194.
Ncat: UDP packet sent successfully
Ncat: 1 bytes sent, 0 bytes received in 2.01 seconds.
[root@ta6wkp3ir3ybrtef ~]#
6、修改iptables规则
修改配置文件/etc/sysconfig/iptables,在*filter中的COMMIT命令前增加以下配置
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
重启iptables,systemctl restart iptables,如未生效需重启docker
7、客户端安装openvpn客户端openvpn-install-2.4.4-I601.exe
安装好客户端后,导入openvpn客户端配置文件即可,ccip.cc检查当前ip;