使用 docker 构建 openvpn 服务

一、docker-compose 配置（先不要启动）

version: "3"
services:
  openvpn:
    # network_mode: host # 设置为 host 模式网络
    container_name: openvpn
    image: kylemanna/openvpn:latest
    cap_add:
      - NET_ADMIN
    ports:
      - "11194:1194/udp"
    # environment:
    #   - TZ=Asia/Shanghai
    #   - SET_CONTAINER_TIMEZONE=true
    #   - CONTAINER_TIMEZONE=Asia/Shanghai
    volumes:
      - ./openvpn:/etc/openvpn
      - /usr/share/zoneinfo/Asia/Shanghai:/etc/localtime
    restart: always

二、获取 conf 目录下的文件

• 初始化将$OVPN_DATA包含配置文件和证书的容器。容器将提示输入密码以保护新生成的证书颁发机构使用的私钥

OVPN_DATA="ovpn-data"
docker volume create --name $OVPN_DATA
docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm kylemanna/openvpn ovpn_genconfig -u udp://VPN.SERVERNAME.COM
docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it kylemanna/openvpn ovpn_initpki

• 启动 vpn 容器

docker run -v $OVPN_DATA:/etc/openvpn -d -p 1194:1194/udp --cap-add=NET_ADMIN kylemanna/openvpn

• 获取 vpn server 端配置文件

CONTAINER=$(docker ps  | grep openvpn | awk '{print $1}')
docker cp $CONTAINER:/etc/openvpn .

• 删除已经启动的容器，并且使用 docker-compose 启动容器

docker stop $CONTAINER && docker rm  $CONTAINER

三、获取客户端配置文件

# 执行命令的时候和 docker-compose.yml 文件在同目录

export CLIENTNAME="your_client_name"
mkdir openvpn/client
docker-compose run --rm openvpn easyrsa build-client-full $CLIENTNAME nopass
docker-compose exec openvpn ovpn_getclient $CLIENTNAME > openvpn/client/$CLIENTNAME.ovpn

# 客户端启动命令

openvpn --daemon --config /etc/openvpn/your_client_name.conf --log-append /var/log/openvpn.log

四、配置用户名密码认证

• 获取认证shell脚本

wget http://openvpn.se/files/other/checkpsw.sh
chmod +x checkpsw.sh

• 修改 server 端配置文件，添加内容

### client-cert-not-required # 是否配置客户端TLS认证
auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env
script-security 3 #2.4版本 需要配置为3，不然会认证失败
username-as-common-name

• 创建用户名密码

echo "jeff 123456" >psw-file

• 客户端添加以下内容

auth-user-pass

五、固定 vpn 客户端获取的地址

• 修改 server 端配置文件，添加下面一行

client-config-dir ccd

• 配置 IP 地址

在 ccd 目录下创建一个 $CLIENTNAME  文件，内容如下

ifconfig-push 172.16.1.100 255.255.0.0

六、配置LDAP登录

• 修改server 端配置文件

# 删除
auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env
script-security 3
# 添加
plugin /usr/lib/openvpn/openvpn-auth-ldap.so "/etc/openvpn/ldap.conf

# ldap.conf 内容
<LDAP>
    URL     ldap://127.0.0.1:1389
    BindDN      cn=readonly,dc=lcs,dc=com
    Password    LYmo1BrpttFE
    Timeout     15
    TLSEnable   no
    FollowReferrals no
</LDAP>
<Authorization>
    BaseDN      "ou=Users,dc=lcs,dc=com"
    SearchFilter    "(&(cn=%u)(memberof=cn=develop,ou=Groups,dc=lcs,dc=com))"
    RequireGroup    false
    <Group>
        BaseDN      "ou=Groups,dc=lcs,dc=com"
        SearchFilter    "cn=develop"
        MemberAttribute memberUid
    </Group>
</Authorization>

1七、配置LDAP+MFA登录

sudo apt install openvpn-auth-ldap libnss-ldapd libpam-google-authenticator

参考文档：https://blog.thinkbox.dev/posts/0001-openvpn-ldap-auth/