Docker部署OpenVPN实战指南 | Web可视化配置 | 完美接入多种组网方案

引言

项目简介

核心特性

1.账号与权限管理

项目提供了完善的用户管理系统,支持本地账号和LDAP集成两种认证方式:

• 默认管理员账号为admin/admin,首次登录后可修改密码
• 支持模板导入创建多个VPN账号,每个账号可独立管理
• VPN用户可以登录专属页面,自行下载配置文件、修改密码、设置MFA
• 集成LDAP后可与企业现有的账号体系打通,实现统一认证

2.证书与密钥管理

作为VPN的核心安全组件,证书管理功能设计得非常周到:

• 一键生成客户端证书和配置文件
• 支持证书的吊销和重新生成
• 自动管理证书有效期,避免过期导致的连接问题

3.多协议与IPv6支持

项目在网络协议支持方面非常全面:

• 同时支持UDP和TCP协议,可根据网络环境灵活选择
• 完整的IPv6支持,适应现代网络环境
• 双栈配置,IPv4和IPv6可以同时工作
• 注意:使用IPv6时需要Docker网络和客户端都开启相应支持

4.企业级安全特性

安全性是VPN最核心的要求,项目在这方面做得很扎实:

• 多因素认证(MFA):支持基于时间的一次性密码(TOTP),大幅提升账号安全性
• LDAP集成:可与企业Active Directory或OpenLDAP集成
• 固定IP分配:可为特定用户分配固定的VPN IP地址
• 加密标准:参考业界最佳实践配置加密算法和密钥长度

5.监控与日志

友好的监控功能让问题排查变得简单:

• 连接历史记录,可查看每个用户的连接时间和时长
• 在线用户列表,实时掌握VPN使用情况
• 详细的日志记录,便于故障诊断
• 支持在线查看和编辑server.conf配置文件

6.灵活的网络配置

针对不同的使用场景,项目提供了灵活的网络配置选项:

• 组网模式(默认):客户端只路由VPN内网流量,不影响正常上网
• 网关模式:客户端所有流量都通过VPN,实现完全的网络控制
• CCD支持:可为特定客户端定制路由和网络配置
• 支持在Web界面直接修改OpenVPN配置,启用自动更新后即时生效

部署教程

环境准备

在开始部署前,请确保你的服务器满足以下要求:

• 操作系统:Linux(推荐Ubuntu 20.04+或CentOS 7+)
• Docker版本:20.10+
• 网络:服务器需要有公网IP或可被客户端访问的网络地址

方式一:Docker Run 快速部署

这是最简单的部署方式,适合快速测试和小规模使用:

[root@localhost ~]# mkdir -p ~/openvpn-data
[root@localhost ~]# docker run -d \
--name openvpn \
--cap-add=NET_ADMIN \
-p 1194:1194/udp \
-p 8833:8833 \
-v ~/openvpn-data:/data \
-v /etc/localtime:/etc/localtime:ro \
docker.1ms.run/yyxx/openvpn

参数说明:

• --cap-add=NET_ADMIN:赋予容器网络管理权限,OpenVPN必需
• -p 1194:1194/udp:映射VPN服务端口(UDP协议)
• -p 8833:8833:映射Web管理界面端口
• -v ~/openvpn-data:/data:持久化数据目录,包含配置、证书等重要文件
• -v /etc/localtime:/etc/localtime:ro:同步系统时间,确保日志时间准确

方式二:Docker Compose 部署

对于生产环境,推荐使用Docker Compose,便于管理和维护:

1.安装Docker Compose

# CentOS/RHEL
yum install -y docker-compose-plugin

# Ubuntu/Debian
apt install -y docker-compose-plugin

2.创建docker-compose.yml文件

mkdir ~/openvpn&&cd~/openvpn
cat > docker-compose.yml <<'EOF'
services:
openvpn:
    image:docker.1ms.run/yyxx/openvpn
    container_name: openvpn
    restart: unless-stopped
    cap_add:
      -NET_ADMIN
    ports:
      -"1194:1194/udp"
      -"8833:8833"
    volumes:
      -./data:/data
      -/etc/localtime:/etc/localtime:ro
EOF

3.启动服务

docker compose up -d

4.查看日志

docker compose logs -f openvpn

IPv6 支持配置

如果你的网络环境支持IPv6,可以启用IPv6功能:

services:
  openvpn:
    image:docker.1ms.run/yyxx/openvpn
    container_name:openvpn
    restart:unless-stopped
    cap_add:
      -NET_ADMIN
    ports:
      -"1194:1194/udp"
      -"8833:8833"
    volumes:
      -./data:/data
      -/etc/localtime:/etc/localtime:ro
    sysctls:
      -net.ipv6.conf.default.disable_ipv6=0
      -net.ipv6.conf.all.forwarding=1

networks:
default:
    enable_ipv6:true

IPv6使用注意事项:

• 需要在Web管理界面的系统设置中启用IPv6选项
• 客户端和服务端的协议都要指定为udp6或tcp6
• Docker网络必须启用IPv6支持
• OpenVPN Connect客户端需要3.4.1或更高版本

初始化配置流程

服务启动后,按以下步骤完成初始化:

第一步:登录管理界面

1. 浏览器访问 http://服务器IP:8833
2. 使用默认账号登录:用户名admin,密码admin
3. 登录后立即在系统设置中修改管理员密码

第二步:生成客户端配置

1. 进入"管理" → "客户端"页面
2. 点击"添加客户端",输入客户端名称、VPNServer及端口
3. 下载生成的.ovpn配置文件

第三步:创建VPN账号

1. 进入"管理" → "VPN账号"页面
2. 点击"添加账号",设置用户名和密码
3. 默认启用了账号验证,可根据需要关闭

第四步:客户端连接测试

1. 在客户端设备上安装OpenVPN客户端软件，用第三步创建账号访问http://服务器IP:8833下载对应平台软件
2. 导入第二步下载的配置文件
3. 使用第三步创建的账号密码连接
4. 连接成功后可在管理界面看到在线用户

LDAP集成配置

对于企业用户,可以集成LDAP实现统一认证:

1. 在系统设置中启用LDAP认证
2. 配置LDAP服务器参数:
   • OpenLDAP使用:uid
   • Windows AD使用:sAMAccountName
   • LDAP_URL:LDAP服务器地址,如ldaps://ldap.example.com:636
   • LDAP_USER_ATTRIBUTE:用户属性字段
   • LDAP_USER_ATTR_IPADDR_NAME:用于存储固定IP的字段(可选)
   • LDAP_USER_ATTR_CONFIG_NAME:用于存储客户端配置的字段(可选)

注意:启用LDAP后,本地VPN账号将不再工作,所有认证都通过LDAP进行。

常见问题排查

问题1: 容器启动失败

• 检查是否赋予了NET_ADMIN权限
• 确认端口1194和8833未被占用
• 查看容器日志:docker logs openvpn

问题2: 客户端无法连接

• 确认服务器防火墙放行了1194端口
• 检查客户端配置文件中的服务器地址是否正确
• 验证VPN账号是否启用

问题3: 连接后只能访问8833,无法访问其他服务

这是最常见的问题!原因是没有配置路由推送。

解决方案:

1. 检查路由是否已推送

在Web界面【管理】-->【配置文件】查看 server.conf 配置中是否有类似内容:

push "dhcp-option DNS 8.8.8.8"
push "route 10.0.12.0 255.255.252.0"
push "route 172.17.0.0 255.255.0.0"
push "route 10.100.100.0 255.255.255.0"

2. 检查服务器IP转发

sysctl net.ipv4.ip_forward
# 应该返回: net.ipv4.ip_forward = 1

3. 检查iptables规则

iptables -t nat -L -n
# 应该看到 MASQUERADE 规则

4. 客户端重新连接

修改配置后,客户端必须断开重连才能获取新路由

问题4: 不知道该添加哪些路由

按需添加,不要一股脑全加!判断方法:

# 1. 查看服务器网卡信息
ip addr show
# 2. 确定你要访问的目标
# - 只访问服务器本机? → 只加服务器内网网段
# 云服务器内网路由
push "route 10.0.12.0 255.255.252.0"
# - 要访问ZeroTier设备? → 加ZeroTier网段
push "route 10.100.100.0 255.255.255.0"
# - 要访问Docker容器内部? → 加Docker网段
push "route 172.17.0.0 255.255.0.0"
# 3. 使用最小配置原则# 先加最必要的,测试通过后再按需添加

问题5: 路由配置后还是无法访问

逐步排查:

# 1. 在客户端检查路由表
# Windows: route print
# Mac/Linux: netstat -rn
# 2. 测试连通性ping 10.8.0.1        
# 测试VPN网关ping 10.0.12.12      
# 测试服务器IPtraceroute 10.0.12.12 
# 查看路由路径
# 3. 检查防火墙
# 确认服务器和客户端防火墙都允许相关流量

🖥️ 项目界面预览