Openvpn on Liangweidong's blog

企业 VPN 与代理自托管：OpenVPN 与 V2Ray 部署实战

Wed, 15 Dec 2021 00:00:00 +0800

自建 VPN / 代理是企业内网穿透、跨地域开发、远程办公的高频需求。本篇把两条主流路线整理清楚：基于 kylemanna/openvpn 的 OpenVPN 方案（10 分钟跑通），以及基于 v2fly/v2fly-core 的 V2Ray 方案（更现代、抗检测更强）。

说明：本文仅讨论技术原理与自托管方法。部署代理服务请遵守所在国家/地区法律法规——中国大陆、俄罗斯、伊朗、北朝、土库曼斯坦、白俄罗斯、伊拉克、缅甸等地区对代理工具有明确限制，部署前请评估合规风险。

阅读对象：需要为团队搭建远程办公网络、跨地域内网访问的运维 / 后端工程师 覆盖范围：kylemanna/openvpn 完整部署流程 + 多用户共享配置 + V2Ray Docker 部署 + 配置文件详解 + 客户端使用

一、OpenVPN vs V2Ray 选型

维度	OpenVPN	V2Ray
协议	SSL/TLS（基于 OpenSSL）	自研 VMess / VLESS（可套 TLS）
抗检测	较易被 DPI 识别	支持 mKCP / WebSocket / HTTP/2 伪装
速度	快（TLS 直连）	略慢（多一层封装）
配置复杂度	简单（脚本化）	中等（要写 JSON）
客户端支持	全平台（OpenVPN Connect）	全平台（v2rayN / v2rayNG / Qv2ray）
企业内网适用	✅ 首选	适合特殊场景

默认推荐 OpenVPN——稳定、客户端完善、企业内网审计方便。V2Ray 适合需要"看起来像正常 HTTPS"的场景。

二、OpenVPN 部署（kylemanna/openvpn）

2.1 一键启动

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 1. 拉镜像
docker pull kylemanna/openvpn

# 2. 创建配置卷
OVPN_DATA="ovpn-data"
docker volume create --name $OVPN_DATA

# 3. 生成服务端配置（替换为你的公网 IP）
docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm \
 kylemanna/openvpn \
 ovpn_genconfig -u udp://vpn.example.com

# 4. 初始化 PKI（CA 证书）
docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it \
 kylemanna/openvpn \
 ovpn_initpki

ovpn_initpki 交互式提示：

1
2
3
4
5


Confirm removal: yes # 输入 yes
Enter PEM pass phrase: # 输入 CA 私钥密码（如 {{REDACTED}}）
Verifying - Enter PEM pass phrase: # 重新输入
Common Name (eg: your user, host, or server name) [Easy-RSA CA]: # 直接回车
Enter pass phrase for /etc/openvpn/pki/private/ca.key: # 输入刚才的密码

2.2 启动 OpenVPN 服务

1
2
3
4
5


docker run -d --name openvpn --restart=always \
 -v $OVPN_DATA:/etc/openvpn \
 -p 1194:1194/udp \
 --cap-add=NET_ADMIN \
 kylemanna/openvpn

--cap-add=NET_ADMIN 必须加——OpenVPN 需要修改网络接口，Docker 默认不授予这个能力。

2.3 签发客户端证书

1
2
3
4


# 给用户 alice 签证书（nopass 表示不加密私钥）
docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it \
 kylemanna/openvpn \
 easyrsa build-client-full alice nopass

nopass 适合脚本化场景——客户端不用每次输密码。生产推荐每个用户独立密码：

1
2
3


docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it \
 kylemanna/openvpn \
 easyrsa build-client-full alice # 去掉 nopass，会交互式要求密码

2.4 导出客户端 .ovpn 文件

1
2
3


docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm \
 kylemanna/openvpn \
 ovpn_getclient alice > alice.ovpn

把 alice.ovpn 拷贝给用户，用户用 OpenVPN Connect 导入即可连接。

客户端下载：

Windows: https://openvpn.net/client/
macOS: Tunnelblick
iOS/Android: App Store / Google Play 搜 “OpenVPN Connect”

2.5 多人共用：开启 duplicate-cn

默认配置每个证书只能 1 个客户端在线。多人共用要开 duplicate-cn：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. 拷贝配置到本地
docker cp openvpn:/etc/openvpn/openvpn.conf ./

# 2. 在最后一行加
echo "duplicate-cn" >> openvpn.conf

# 3. 拷回去
docker cp ./openvpn.conf openvpn:/etc/openvpn/

# 4. 重启
docker restart openvpn

2.6 增删用户脚本

加用户（add_user.sh）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


#!/bin/bash
OVPN_DATA="ovpn-data"
read -p "请输入用户名: " NAME

docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it \
 kylemanna/openvpn easyrsa build-client-full $NAME

docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm \
 kylemanna/openvpn ovpn_getclient $NAME > "/root/${NAME}.ovpn"

docker restart openvpn
echo "客户端配置已生成: /root/${NAME}.ovpn"

删用户（del_user.sh）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


#!/bin/bash
OVPN_DATA="ovpn-data"
read -p "请输入要删除的用户名: " DNAME

docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it \
 kylemanna/openvpn easyrsa revoke $DNAME

docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it \
 kylemanna/openvpn easyrsa gen-crl

docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it \
 kylemanna/openvpn rm -f /etc/openvpn/pki/reqs/${DNAME}.req

docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it \
 kylemanna/openvpn rm -f /etc/openvpn/pki/private/${DNAME}.key

docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it \
 kylemanna/openvpn rm -f /etc/openvpn/pki/issued/${DNAME}.crt

docker restart openvpn

2.7 客户端使用

Linux 命令行：

1
2


sudo apt install openvpn
openvpn --config alice.ovpn

看到 Initialization Sequence Completed 就连接成功了。

三、V2Ray 部署（v2fly/v2fly-core）

3.1 服务端部署

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33


# 1. 拉镜像
docker pull v2fly/v2fly-core:v4.45.2

# 2. 准备配置
mkdir -p /home/v2ray
cat > /home/v2ray/config.json <<'EOF'
{
 "inbounds": [{
 "port": 443,
 "protocol": "vless",
 "settings": {
 "clients": [{
 "id": "00000000-0000-0000-0000-000000000000",
 "level": 0
 }],
 "decryption": "none"
 },
 "streamSettings": {
 "network": "tcp",
 "security": "none"
 }
 }],
 "outbounds": [{
 "protocol": "freedom",
 "tag": "direct"
 }]
}
EOF

# 3. 启动（用 host 网络）
docker run -d --name v2ray --network host \
 -v /home/v2ray/config.json:/etc/v2ray/config.json \
 v2fly/v2fly-core:v4.45.2

config.json 是 V2Ray 的核心——inbounds 定义接入协议，outbounds 定义出口规则。上面是最简配置：TCP + VLESS + 无加密——生产应该加 TLS。

3.2 完整 VLESS + WebSocket + TLS 配置

最常见的"看起来像正常 HTTPS"配置：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


{
 "inbounds": [{
 "port": 443,
 "protocol": "vless",
 "settings": {
 "clients": [{
 "id": "{{UUID}}",
 "level": 0
 }],
 "decryption": "none"
 },
 "streamSettings": {
 "network": "ws",
 "wsSettings": {
 "path": "/vless"
 },
 "security": "tls",
 "tlsSettings": {
 "certificates": [{
 "certificateFile": "/etc/v2ray/tls/fullchain.pem",
 "keyFile": "/etc/v2ray/tls/privkey.pem"
 }]
 }
 }
 }],
 "outbounds": [{
 "protocol": "freedom",
 "tag": "direct"
 }]
}

关键点：

{{UUID}} 用 cat /proc/sys/kernel/random/uuid 生成
/vless 路径和 CDN 转发配合使用，让流量看起来像 WebSocket 网站
TLS 证书用 Let’s Encrypt 免费签发

3.3 客户端配置（v2rayN / v2rayNG）

Windows 客户端 v2rayN：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


{
 "v": "2",
 "ps": "my-v2ray-server",
 "add": "vpn.example.com",
 "port": "443",
 "id": "{{UUID}}",
 "aid": "0",
 "net": "ws",
 "type": "none",
 "host": "",
 "path": "/vless",
 "tls": "tls"
}

Android 客户端 v2rayNG：扫描 v2rayN 导出的二维码即可。

macOS 客户端 Qv2ray 或 V2RayXS。

四、容器内启用代理

部署好代理后，业务容器怎么用？在 Docker 中给容器设代理：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# 1. 创建代理容器专用的 network
docker network create \
 --driver bridge \
 --subnet 10.10.0.0/24 \
 proxy-net

# 2. V2Ray 容器加入
docker run -d --name v2ray \
 --network proxy-net \
 --ip 10.10.0.2 \
 v2fly/v2fly-core

# 3. 业务容器也加入，配置走代理
docker run -d --name myapp \
 --network proxy-net \
 -e http_proxy=http://10.10.0.2:10809 \
 -e https_proxy=http://10.10.0.2:10809 \
 myapp:latest

Linux 全局代理：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 临时
export ALL_PROXY=socks5://127.0.0.1:1080
export http_proxy="socks5://127.0.0.1:1080"
export https_proxy="socks5://127.0.0.1:1080"

# 永久（写入 /etc/profile）
cat >> /etc/profile <<'EOF'
export ALL_PROXY=socks5://127.0.0.1:1080
export http_proxy="socks5://127.0.0.1:1080"
export https_proxy="socks5://127.0.0.1:1080"
EOF
source /etc/profile

五、安全加固

5.1 OpenVPN 加固清单

不要开 duplicate-cn 在生产——审计上每个用户独立证书更安全
关闭 comp-lzo：VORACLE 攻击利用 LZO 压缩解密的侧信道
强制 TLS 1.2+：

1
2
3
4


# openvpn.conf 添加
tls-version-min 1.2
auth SHA256
cipher AES-256-GCM

客户端证书有效期 1 年：easyrsa 默认 825 天，生产改成 365 天

5.2 V2Ray 加固清单

必须用 UUID 不用固定密码：cat /proc/sys/kernel/random/uuid
alterId 必须 0：V2Ray 5.x 已废弃 alterId，旧配置 alterId > 0 有被识别风险
开启 fallback：Nginx 同机部署，让 443 同时服务正常网站和 V2Ray

1
2
3
4
5
6
7
8


"streamSettings": {
 "network": "tcp",
 "security": "tls",
 "tlsSettings": {
 "alpn": ["h2", "http/1.1"],
 "certificates": [...]
 }
}

六、典型坑位

6.1 OpenVPN 连接后无法访问内网

症状：VPN 连上了，但 ping 不通内网服务器。

原因：服务端没开启 IP 转发或 NAT。

修复：

1
2
3
4


# 在 openvpn.conf 添加
push "route 10.0.0.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"

并确保宿主机：

1

sysctl -w net.ipv4.ip_forward=1

6.2 V2Ray 启动报 “x509: certificate signed by unknown authority”

症状：V2Ray 启动失败，TLS 握手错误。

修复：

证书路径写对——/etc/v2ray/tls/fullchain.pem（不是 cert.pem）
fullchain.pem 是证书链（包含中间 CA），cert.pem 只有叶子证书
用 openssl x509 -in fullchain.pem -text -noout 检查是否完整

6.3 客户端频繁断连

症状：V2Ray 用 30 分钟断一次。

修复：

开启 mux（多路复用）：

1
2
3
4
5
6


"streamSettings": {
 "mux": {
 "enabled": true,
 "concurrency": 8
 }
}

或换 WebSocket + CDN（Cloudflare 免费层支持）

七、监控与日志

OpenVPN 状态查询：

1

docker exec openvpn tail -f /var/log/openvpn/status.log

输出：

1
2
3
4
5
6
7


OpenVPN CLIENT LIST
Updated,Fri May 21 05:02:01 2021
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
alice,1.2.3.4:54321,12345,67890,Fri May 21 04:30:00 2021
bob,5.6.7.8:12345,50000,40000,Fri May 21 03:00:00 2021
ROUTING TABLE
...

V2Ray 接入 Prometheus：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


"stats": {},
"policy": {
 "levels": {
 "0": {
 "statsUserUplink": true,
 "statsUserDownlink": true
 }
 },
"api": {
 "tag": "api",
 "services": ["StatsService"]
},
"routing": {
 "rules": [{
 "inboundTag": ["api"],
 "outboundTag": "api",
 "type": "field"
 }]
}

然后用 v2ray-exporter 抓取 metrics。

八、卸载清理

1
2
3
4
5
6
7
8


# OpenVPN
docker rm -f openvpn
docker volume rm ovpn-data
rm -rf /home/docker/openvpn

# V2Ray
docker rm -f v2ray
rm -rf /home/v2ray

九、选型决策树

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


需要稳定、易审计、客户端完善？
└─ 是 → OpenVPN（kylemanna/openvpn）

需要抗检测、套 CDN、跨云？
└─ 是 → V2Ray（v2fly/v2fly-core）

需要浏览器插件直连（无需客户端）？
└─ 是 → Trojan / Shadowsocks（本文不展开）

需要 L3 VPN（路由全走 VPN）？
└─ 是 → WireGuard（性能最强，但配置稍复杂）

2024+ 视角补充

本文写于 2021-12，2024-2026 期间 VPN / 代理生态关键演进：

WireGuard 1.0+（2020 合并入 Linux 内核，2024+ 全面成熟）：比 OpenVPN 快 3-4x、配置极简、跨平台——2024+ 几乎所有自建 VPN 场景的首选
OpenVPN 2.6+（2023-2024）：WireGuard 模式化（不再强推 OpenVPN 模式）、DCO 内核加速、性能与稳定性提升
Tailscale / Headscale 1.50+：基于 WireGuard 的零配置 VPN——Headscale 是开源自托管版本，异地组网神器，2024-2026 替代 OpenVPN 的主流选择
NetBird 0.x（2023-2025）：Headscale 的同类竞品，自托管 + Web UI 体验更好
OpenZiti 1.x（2023-2024）：零信任网络（Zero Trust） 开源实现，比传统 VPN 更安全
V2Ray / Xray 1.8+（抗检测代理）：Vision / REALITY 等新协议——抗 DPI 能力 2024+ 大幅提升
sing-box 1.8+（2023-2025）：统一 SOCKS5 / HTTP / TUIC / Hysteria2 / ShadowTLS——V2Ray 体系更现代的替代
Cloudflare WARP + Zero Trust（2024+）：企业级零信任——小团队不折腾 VPN 的最佳选择

实战建议（2025-2026 视角）：

企业内网 VPN → WireGuard（首选）或 Headscale / NetBird（异地多机房）
远程办公 / 零信任 → Cloudflare Zero Trust / Tailscale——新项目首选
跨境 / 抗检测 → sing-box + Hysteria2（V2Ray 体系已被淘汰）
传统 OpenVPN 集群 → 老场景保留，但新项目不要选

合规提醒（2026 视角）：本文中 V2Ray 部分仍受合规限制（已在原文标注）。2024+ 主流趋势是"零信任 + 内网 SaaS 化"——VPN 需求被 Cloudflare Access / Okta / Azure AD Application Proxy 等方案部分替代。

下一步

想看 站点与博客自托管（WordPress / WVP 视频监控）→ 站点与博客自托管
想看 Watchtower 容器自动更新（守护所有容器的升级）→ Watchtower 容器自动更新
想看 Vaultwarden 密码管理（Bitwarden 自托管）→ Vaultwarden 密码管理

OpenVPN 自建 VPN 服务：证书签发、客户端配置与多用户管理

Sat, 15 Sep 2018 00:00:00 +0800

企业内网里要远程办公、要让外网访问内部系统，传统方案是"公网 IP + 端口映射 + 防火墙白名单"，但任意端口都暴露风险大。VPN（Virtual Private Network）是更安全的方案——所有流量走加密隧道，访问内网像在内网一样。OpenVPN 是开源 VPN 里的"老牌选手"，协议成熟、客户端齐全、跨平台。这篇文章讲清楚容器化部署、CA 证书签发、客户端 .ovpn 配置、多用户管理。

阅读对象：要给团队搭企业 VPN、给客户搭远程访问通道的运维同学
覆盖范围：kylemanna/openvpn 容器化部署、CA 签发、客户端 .ovpn 生成、duplicate-cn 多人共用、多用户管理脚本

〇、本文与"VPN 与代理自托管"一文的关系

本篇侧重 OpenVPN 单协议的深度——性能调优、跨平台客户端、协议变体、与企业网络设备对接。如果想看 OpenVPN + V2Ray 两条路线的选型对比，请参考姐妹篇 VPN 与代理自托管：OpenVPN 与 V2Ray 部署实战。

合规提示（必读）：本文仅讨论 OpenVPN 用于企业远程办公、跨地域内网访问、出差员工接入公司内网等合法场景。部署、使用 VPN 服务务必遵守所在国家/地区法律法规。未经电信主管部门批准擅自建立、使用其他信道进行国际联网在中国大陆境内属违法行为。请勿用于违反所在国法律法规的用途。

一、为什么是 OpenVPN

VPN 协议不止一种，主流对比：

协议	特点	适用
OpenVPN	SSL/TLS 加密，UDP/TCP 都行，跨平台	企业内网 VPN，老牌稳定
WireGuard	新一代，Linux 内核态，配置极简	追求性能与简洁
IPSec / IKEv2	移动端友好，原生支持 iOS/macOS	移动办公
Shadowsocks / V2Ray	代理协议，不是真 VPN	翻墙 / 流量伪装

When to use：要给企业员工/客户提供"访问内网"能力，OpenVPN 是最稳的方案——企业级防火墙一般不会拦 OpenVPN 流量（看是 TCP 443 还是 UDP 1194），客户端覆盖 Windows / macOS / Linux / iOS / Android。

二、容器化部署

2.1 拉镜像

1

docker pull kylemanna/openvpn

2.2 初始化配置

1
2
3
4
5
6
7
8


# 创建配置卷
OVPN_DATA="ovpn-data"
docker volume create --name $OVPN_DATA

# 生成 OpenVPN 服务端配置（UDP 协议，公网 IP 替换成实际 IP）
docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm \
 kylemanna/openvpn \
 ovpn_genconfig -u udp://{{PUBLIC_IP}}

协议选择：

UDP 1194：性能好，主流选择

TCP 443：能穿透企业代理/防火墙，但性能略差

2.3 签发 CA 证书

1
2
3
4
5
6
7
8
9


docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn ovpn_initpki

# 交互式输入：
# Confirm removal: yes
# Enter PEM pass phrase: {{CA_PASSWORD}} # CA 私钥密码
# Verifying - Enter PEM pass phrase: {{CA_PASSWORD}}
# Common Name (eg: your user,host,or server name) [Easy-RSA CA]: 直接回车
# Enter pass phrase for /etc/openvpn/pki/private/ca.key: {{CA_PASSWORD}}

CA 密码保管：这个密码是 CA 私钥的"二次锁"，必须记录下来备份——后面签发/吊销客户端证书时都要用到。

2.4 启动服务端

1
2
3
4
5
6


docker run -d --name openvpn --restart=always \
 -v $OVPN_DATA:/etc/openvpn \
 -p 1194:1194/udp \
 --cap-add=NET_ADMIN \
 --restart=always \
 kylemanna/openvpn

–cap-add=NET_ADMIN：让容器获得 NET_ADMIN 能力，能创建 tun 设备、改路由表。

2.5 验证

服务端启动后，查看日志：

1

docker logs -f openvpn

看到 Initialization Sequence Completed 说明成功。

三、签发客户端证书

3.1 单个客户端

1
2
3
4
5
6
7


# 签发 client 证书
docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa build-client-full {{USERNAME}} nopass

# 导出 .ovpn 配置文件
docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn ovpn_getclient {{USERNAME}} > {{USERNAME}}.ovpn

nopass：客户端证书不设密码。nopass 适合自动化/移动端，有密码更安全（每次连接输密码），按业务取舍。

3.2 .ovpn 文件内容

导出的 .ovpn 文件包含：

CA 证书
客户端证书
客户端私钥
服务端配置（IP、端口、协议、压缩方式）

直接发给用户用 OpenVPN 客户端导入即可：

Windows / macOS：OpenVPN Connect 客户端
Linux：openvpn --config xxx.ovpn
iOS / Android：OpenVPN Connect APP

不要通过微信/邮件明文传 .ovpn——里面是私钥。建议企业内 IM（如企业微信）传或加密压缩。

3.3 客户端连接

1
2
3


# Linux
sudo apt install openvpn
sudo openvpn --config /path/to/{{USERNAME}}.ovpn

连接成功后，客户端会拿到 10.8.x.x 的 VPN IP，访问内网（如 192.168.0.0/16）就自动走 VPN 隧道。

四、关键配置

/var/lib/docker/volumes/ovpn-data/_data/openvpn.conf（核心）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27


server 10.8.0.0 255.255.255.0
verb 3
key /etc/openvpn/pki/private/{{SERVER_NAME}}.key
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/{{SERVER_NAME}}.crt
dh /etc/openvpn/pki/dh.pem
tls-auth /etc/openvpn/pki/ta.key
key-direction 0
keepalive 10 60
persist-key
persist-tun
proto udp
port 1194
dev tun0
status /tmp/openvpn-status.log
user nobody
group nogroup
comp-lzo no

# 路由推送（让客户端能访问内网）
route 192.168.0.0 255.255.0.0

# DNS 推送
push "block-outside-dns"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "comp-lzo no"

五、多用户管理

5.1 duplicate-cn（多人共用证书）

默认 OpenVPN 一个证书只允许一个连接。多人用同一个 .ovpn：

1
2
3
4
5


# 在 openvpn.conf 末尾加
echo "duplicate-cn" >> /var/lib/docker/volumes/ovpn-data/_data/openvpn.conf

# 重启
docker restart openvpn

不推荐生产用：所有用户用同一个证书，审计不到具体人，吊销就是"全部吊销"。建议每个用户独立签发证书。

5.2 批量添加用户脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


#!/bin/bash
# vim add_user.sh
OVPN_DATA="ovpn-data"
read -p "please your username: " NAME

docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa build-client-full $NAME nopass

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn ovpn_getclient $NAME > /root/"$NAME".ovpn

docker restart openvpn

5.3 删除用户脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


#!/bin/bash
# vim del_user.sh
OVPN_DATA="ovpn-data"
read -p "Delete username: " DNAME

docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa revoke $DNAME

docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa gen-crl

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn rm -f /etc/openvpn/pki/reqs/"$DNAME".req

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn rm -f /etc/openvpn/pki/private/"$DNAME".key

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn rm -f /etc/openvpn/pki/issued/"$DNAME".crt

docker restart openvpn

六、踩坑清单

UDP 1194 被防火墙拦——换 TCP 443，重启 ovpn_genconfig -u tcp://{{IP}}
客户端连上但访问不了内网——服务端没 push "route 192.168.x.x 255.255.x.x"，或者内网机器防火墙拦截了 VPN 客户端 IP（10.8.0.0/24）
DNS 解析失败——客户端拿到了 VPN IP 但解析不到内网域名，添加 push "dhcp-option DNS 10.0.0.2"
证书过期——Easy-RSA 默认 825 天，吊销旧证书、签发新证书
.ovpn 文件被截断——> 重定向可能被 shell 解释，证书里的 --- 等特殊字符要用 <<EOF 或 tee 输出
多人共用证书审计不到——生产用 duplicate-cn 是"省事但危险"，强烈建议一证一人

七、OpenVPN 性能优化（独有）

性能调优是与 VPN 与代理自托管姐妹篇不重叠的部分。

7.1 协议层

协议	性能	兼容	适用
UDP	最高	大多数客户端	默认推荐
TCP	略低	所有环境	穿透强约束网络
TCP 443	低	全部	跨公网 NAT / 严格防火墙

proto udp 默认选；只有 UDP 被防火墙挡才换 TCP。

7.2 加密层

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 高性能（默认）
cipher AES-256-CBC
auth SHA256
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384

# 极致性能（牺牲一些安全性）
cipher AES-128-GCM # 128 vs 256 性能差 30%
auth SHA1

# 强制 TLS 1.2+（强烈推荐）
tls-version-min 1.2

2024+ 推荐：CPU 支持 AES-NI 硬件加速（所有现代 Intel/AMD CPU 都支持），AESGCM 比 CBC 快 2-3 倍。改用 cipher AES-256-GCM。

7.3 压缩（注意历史教训）

1
2
3
4
5


# 禁用 comp-lzo（VORACLE 攻击）
comp-lzo no
push "comp-lzo no"

# 不用 compress（如果用了 LZ4 也建议禁）

7.4 keepalive 与 MTU

1
2
3
4
5
6


# 客户端断线 60s 内重连，服务端 120s 释放
keepalive 10 60

# 关键 MTU 调优（避免分片）
tun-mtu 1400
mssfix 1360

7.5 大规模并发（千人级）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 服务端配置
max-clients 1000
max-routes-per-client 50
duplicate-cn # 仅审计可放弃时使用
tcp-nodelay

# /etc/sysctl.conf（宿主）
net.core.somaxconn = 4096
net.ipv4.tcp_max_syn_backlog = 4096
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

7.6 性能基准（参考）

配置	单客户端带宽	CPU 占用（单核）
AES-256-CBC + UDP	~800 Mbps	60%
AES-256-GCM + UDP	~2 Gbps	30%
AES-128-GCM + UDP	~3 Gbps	20%
TCP 443	~500 Mbps	70%

实际值取决于 CPU、MTU、网络环境。1 Gbps 客户端+ AES-NI 可跑到 1.5+ Gbps 隧道吞吐。

八、跨平台客户端实战（独有）

8.1 Windows

OpenVPN Connect 官方客户端
OpenVPN GUI（2018 起停更，但仍是事实标准）
Tunnelblick（仅 macOS）→ Windows 对应 OpenVPN Connect

8.2 macOS

Tunnelblick 开源 GUI（事实标准）
OpenVPN Connect 官方
Viscosity 商业（订阅制，UI 友好）

8.3 Linux

1
2
3
4
5
6
7


# 命令行
sudo apt install openvpn
sudo openvpn --config client.ovpn

# NetworkManager 图形
sudo apt install network-manager-openvpn network-manager-openvpn-gnome
# 系统设置 → 网络 → + → VPN → OpenVPN → 选 .ovpn 文件

8.4 iOS / Android

OpenVPN Connect（官方）
导入 .ovpn 后会自动保存，连接时输入证书密码（如果签发时设了）

8.5 路由器（OpenWrt / iKuaiOS）

1
2
3
4
5
6
7
8
9


# OpenWrt 安装
opkg install openvpn-openssl

# 复制 .ovpn 到 /etc/openvpn/
# 启动
/etc/init.d/openvpn enable
/etc/init.d/openvpn start

# 路由器下所有设备都走 VPN（"硬路由级" VPN）

进阶：把 OpenVPN 装到企业网关（pfSense / OPNsense），整个网段接入 VPN。

九、协议变体与互操作（独有）

9.1 OpenVPN Access Server（商业版）

官方商业版，免证书签发
提供 Web 管理后台、用户自助注册
适合中小企业（< 200 用户）不想自己维护 CA
授权 10 用户起售

9.2 OpenVPN Cloud

2020+ 推出的 SaaS 版
全球 Anycast 节点
适合跨国企业、远程办公团队
按用户订阅

9.3 WireGuard 替代？

维度	OpenVPN	WireGuard
内核态	否（用户态）	是（Linux 5.6+）
性能	中	极高（UDP 单线程 ~1 Gbps）
配置	中（CA + 证书）	极简（公私钥对）
抗检测	中	低（流量特征明显）
跨平台	全平台	全平台（2019+）
适用	企业内网、远程办公	高性能场景、移动端

2024 选型：传统企业 → OpenVPN（稳定、审计、客户端全）；新项目 / 高性能 → WireGuard（配置极简、性能强）。

十、参考资料

kylemanna/openvpn：https://github.com/kylemanna/docker-openvpn
OpenVPN 官方文档：https://openvpn.net/community-resources/
OpenVPN Connect 客户端下载：https://openvpn.net/client/

下一步

想做代理？→ V2Ray 代理服务搭建一文
想做 WebRTC 内网穿透？→ 流媒体与 WebRTC 实时视频一文
想做 Web 网关？→ Nginx 反向代理实战一文