Centos7使用docker搭建openvpn
準(zhǔn)備好一臺(tái)海外的主機(jī)挪圾,如公網(wǎng)ip為
47.213.133.182,并安裝好docker(docker官網(wǎng)下載最新的安裝包)蕉扮,下載openvpn鏡像docker pull kylemanna/openvpn:2.4
1、使用openvpn生成配置文件
mkdir -p /data/openvpn
docker run -v /data/openvpn:/etc/openvpn --rm kylemanna/openvpn:2.4 ovpn_genconfig -u udp://47.213.133.182
執(zhí)行完命令后可在目錄/data/openvpn中看到相應(yīng)的配置文件;
2撒顿、初始化密鑰文件
docker run -v /data/openvpn:/etc/openvpn --rm -it kylemanna/openvpn:2.4 ovpn_initpki
執(zhí)行過(guò)程中需要先設(shè)置ca密碼(如123456),Common Name可不設(shè)置直接按回車?yán)^續(xù)荚板,接著需要輸入ca密碼更新密鑰庫(kù)以及生成crl文件凤壁;
3、生成客戶端證書
docker run -v /data/openvpn:/etc/openvpn --rm -it kylemanna/openvpn:2.4 easyrsa build-client-full openvpn-client nopass
其中openvpn-client為自定義名稱跪另,生成的過(guò)程需要輸入ca密碼拧抖;
4、導(dǎo)出客戶端的配置文件openvpn-client.ovpn
docker run -v /data/openvpn:/etc/openvpn --rm kylemanna/openvpn:2.4 ovpn_getclient openvpn-client > /data/openvpn/openvpn-client.ovpn
注意openvpn-client名稱需與第三步生成時(shí)命名一致免绿,此時(shí)生成的配置文件openvpn-client.ovpn即可用于客戶端連接唧席;
5、啟動(dòng)openvpn
docker run -v /data/openvpn:/etc/openvpn -d -p 1194:1194/udp --restart=always --name openvpn --cap-add=NET_ADMIN --sysctl net.ipv6.conf.all.disable_ipv6=0 --sysctl net.ipv6.conf.default.forwarding=1 --sysctl net.ipv6.conf.all.forwarding=1 kylemanna/openvpn:2.4
需要注意防火墻規(guī)則嘲驾,其中1194為udp端口淌哟,可在其他機(jī)器上通過(guò)nc命令測(cè)試是否可連接
yum install nc -y
nc -vuz 47.213.133.182 1194
[root@ta6wkp3ir3ybrtef ~]# nc -vuz 47.213.133.182 1194
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Connected to 47.213.133.182:1194.
Ncat: UDP packet sent successfully
Ncat: 1 bytes sent, 0 bytes received in 2.01 seconds.
[root@ta6wkp3ir3ybrtef ~]#
6、修改iptables規(guī)則
修改配置文件/etc/sysconfig/iptables辽故,在*filter中的COMMIT命令前增加以下配置
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
重啟iptables徒仓,systemctl restart iptables,如未生效需重啟docker
7誊垢、客戶端安裝openvpn客戶端openvpn-install-2.4.4-I601.exe
安裝好客戶端后掉弛,導(dǎo)入openvpn客戶端配置文件即可,ccip.cc檢查當(dāng)前ip喂走;
