Trustivon VPN 是一款企业级区块链基础设施安全接入管理方案,基于 OpenVPN 协议开发,为企业服务提供安全网络访问控制。系统采用 Web 可视化管理界面,支持多种认证方式,提供完善的用户管理、连接监控和审计功能。
随着远程办公、跨地域访问与隐私保护需求的不断增长,VPN(虚拟专用网络)正在成为个人与企业必备的基础设施之一。而传统的 WireGuard VPN 配置流程对于普通用户而言存在一定门槛,需要大量命令行操作与手动配置。WG-Easy 正是在这种背景下应运而生的高效解决方案,它将 WireGuard 的强大性能与可视化管理相结合,大大降低部署和维护难度。
WG-Easy(WireGuard Easy) 是一个将 WireGuard VPN 核心服务与 Web 可视化管理界面深度集成的开源项目。它通过直观的浏览器操作界面,让用户无需掌握复杂的命令行知识,即可快速完成 VPN 的部署、配置与监控。
设计理念:
Web 界面完成,告别配置文件WireGuard 协议,提供媲美直连的网络速度WireGuard Easy 提供了一套完整的 VPN 管理功能,主要特性包括:
VPN 与 Web 管理界面整合在一起。Docker 容器化,一条命令即可启动完整 VPN 服务。Prometheus,便于接入 Grafana 统一监控体系。在部署前,请确认服务器内核已支持 WireGuard:
uname -r加载 WireGuard 内核模块:
modprobe wireguard验证是否成功:
lsmod | grep wireguard说明:
- Linux Kernel ≥ 5.6 已内置 WireGuard
- Ubuntu 20.04+ / 22.04 LTS 默认支持
- 若加载失败,请检查内核版本或云厂商是否裁剪模块
配置防火墙规则
# Ubuntu/Debian (使用 ufw)
sudo ufw allow 51820/udp comment 'WireGuard VPN'
sudo ufw allow 51821/tcp comment 'WG-Easy Web UI'若云厂商启用防火墙 / 安全组,务必同步放行端口。
docker network create \
-d bridge --ipv6 \
--subnet 10.42.42.0/24 \
--subnet fdcc:ad94:bacf:61a3::/64 \
wgdocker run -d \
--net wg \
-e INSECURE=true \
--name wg-easy \
--ip6 fdcc:ad94:bacf:61a3::2a \
--ip 10.42.42.42 \
-v ~/.wg-easy:/etc/wireguard \
-v /lib/modules:/lib/modules:ro \
-p 51820:51820/udp \
-p 51821:51821/tcp \
--cap-add NET_ADMIN \
--cap-add SYS_MODULE \
--sysctl net.ipv4.ip_forward=1 \
--sysctl net.ipv4.conf.all.src_valid_mark=1 \
--sysctl net.ipv6.conf.all.disable_ipv6=0 \
--sysctl net.ipv6.conf.all.forwarding=1 \
--sysctl net.ipv6.conf.default.forwarding=1 \
--restart unless-stopped \
ghcr.io/wg-easy/wg-easy:15访问浏览器 http://服务器IP:51821 即可进入界面。
# Ubuntu/Debian
# sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
sudo apt install -y docker-compose-pluginmkdir ~/wg-easy/ && mkdir ~/wg-easy/sudo curl -o /etc/docker/containers/wg-easy/docker-compose.yml https://raw.githubusercontent.com/wg-easy/wg-easy/master/docker-compose.ymldocker-compose.yml文件并取消environment注释INSECUREINSECURE为true允许通过非安全http连接访问 Web UI。完整docker-compose.yml文件如下:
volumes:
etc_wireguard:
services:
wg-easy:
volumes:
etc_wireguard:
services:
wg-easy:
environment:
- INSECURE=true
image: ghcr.nju.edu.cn/wg-easy/wg-easy:15
container_name: wg-easy
networks:
wg:
ipv4_address: 10.42.42.42
ipv6_address: fdcc:ad94:bacf:61a3::2a
volumes:
- etc_wireguard:/etc/wireguard
- /lib/modules:/lib/modules:ro
ports:
- "51820:51820/udp"
- "51821:51821/tcp"
restart: unless-stopped
cap_add:
- NET_ADMIN
- SYS_MODULE
sysctls:
- net.ipv4.ip_forward=1
- net.ipv4.conf.all.src_valid_mark=1
- net.ipv6.conf.all.disable_ipv6=0
- net.ipv6.conf.all.forwarding=1
- net.ipv6.conf.default.forwarding=1
networks:
wg:
driver: bridge
enable_ipv6: true
ipam:
driver: default
config:
- subnet: 10.42.42.0/24
- subnet: fdcc:ad94:bacf:61a3::/64# 启动容器
docker compose up -d
# 查看日志
docker compose logs -f wg-easy
# 查看容器状态
docker compose ps访问浏览器 http://服务器IP:51821 即可进入界面。
修改客户端配置,添加允许的 IP ,决定哪些流量走 VPN:
# 全局代理(所有流量走 VPN)
0.0.0.0/0, ::/0
# 仅访问特定网段(分流模式,推荐)
10.42.42.0/24 # WireGuard 内网
10.7.0.0/22 # 服务器内网
172.17.0.0/24 # docker
192.168.1.0/24 # 家庭网络分流模式的优势:
保存后即可通过扫描二维码或下载配置文件连接。
进入 管理面板 > 通用设置 > Prometheus,启用监控并设置密码。
在 Prometheus 配置文件中添加:以下是一个示例:
scrape_configs:
- job_name: 'wg-easy'
scrape_interval: 30s
metrics_path: /metrics/prometheus
static_configs:
- targets:
- '服务器IP:51821'
authorization:
type: Bearer
credentials: '上一步设置的密码'
Grafana Dashboard ID:21733
WG-Easy 适用于多种实际应用场景,从个人隐私保护到企业级远程访问,都能提供高效的解决方案:
远程办公 / 内网访问
安全访问公司内网服务(Git、Jenkins、数据库、K8s 等)。
跨地域统一出口网络
多终端统一出口 IP,便于访问特定区域网络资源。
家庭网络远程访问
安全访问家中 NAS、路由器、智能家居设备、监控摄像头、内网服务。
小型团队 VPN 管理
无需专业网络运维即可维护团队 VPN。
测试 / 沙箱 / 运维环境
快速搭建临时 VPN,随用随删,配置可追溯。
| 平台 | 下载地址 |
|---|---|
| Windows | https://download.wireguard.com/windows-client/ |
| macOS | https://apps.apple.com/app/wireguard/id1451685025 |
| Android | https://play.google.com/store/apps/details?id=com.wireguard.android |
| iOS | https://apps.apple.com/app/wireguard/id1441195209 |
| Linux | sudo apt install wireguard 或各发行版包管理器 |
| 对比维度 | WireGuard | IPsec | OpenVPN |
|---|---|---|---|
| 协议架构 | 第3层 VPN,内核态,仅 UDP | 第3层 VPN 协议族,内核态 | 应用层 SSL/TLS,用户态,TCP/UDP |
| 加密方案 | 固定现代套件(ChaCha20-Poly1305) | 可配置(AES、3DES 等) | 可配置(默认 AES-256-GCM) |
| 认证方式 | 公钥认证 | 预共享密钥、证书、EAP | 证书、用户名密码、双因素 |
| 安全性 | 高(现代密码学,代码简洁易审计) | 较高(成熟可靠但配置复杂) | 较高(依赖 OpenSSL) |
| 性能 | 极高(低延迟,高吞吐) | 高性能 | 中等 |
| 资源占用 | 极低(CPU,内存) | 低到中等 | 中等到高 |
| 连接速度 | 几乎即时 | 较慢(需要协商) | 快速 |
| 配置难度 | 极简(少量配置) | 复杂 | 中等 |
| NAT 穿透 | 优秀 | 良好 | 优秀 |
| 防火墙穿透 | 良好(UDP 可能受限) | 一般(ESP 常被阻断) | 极佳(可伪装 HTTPS) |
| 移动网络切换 | 无感知漫游 | 需要重连 | 较好 |
| 网络拓扑 | 点对点,站点互联,Mesh 网络 | 站点互联,远程访问 | 远程访问,点对点 |
| 平台支持 | Linux,Windows,macOS,iOS,Android,路由器 | 全平台原生支持 | 全平台完整支持 |
| 企业成熟度 | 快速增长中 | 广泛企业级应用 | 广泛企业级应用 |
| 合规认证 | 较少 | 完善(FIPS 等) | 多种认证 |
| 适用场景 | 个人 VPN,移动办公,物联网 | 企业站点互联,高合规场景 | 企业远程访问,严格防火墙 |
WG-Easy 以其实用性和易用性,大幅降低了传统 WireGuard VPN 的部署门槛,使 VPN 架构不仅对开发者友好,也对非专业用户易于使用。
无论是个人自建 VPN,还是企业内网 VPN 管理,WG-Easy 都能提供简洁,高效,安全的解决方案,是非常值得推荐的开源 VPN 工具。
在现代互联网时代,数据安全、隐私保护和远程接入已成为企业与个人网络部署的核心需求。传统 VPN 解决方案在保障网络通信安全方面发挥了重要作用,而随着容器化技术的成熟,将 VPN 服务以 Docker 方式部署并结合 Web UI 管理,正成为自建网络服务的新趋势。
GavinTan/openvpn 是一个基于Docker容器化部署的OpenVPN服务器项目,旨在通过直观的 Web 管理界面简化 VPN 管理。该解决方案提供对用户账户管理、客户端管理、证书管理、服务器配置和实时连接监控的集中控制,同时通过多因素身份验证和 LDAP 集成保持企业级安全性。
项目提供了完善的用户管理系统,支持本地账号和LDAP集成两种认证方式:
admin/admin,首次登录后可修改密码VPN账号,每个账号可独立管理VPN用户可以登录专属页面,自行下载配置文件、修改密码、设置MFALDAP后可与企业现有的账号体系打通,实现统一认证作为VPN的核心安全组件,证书管理功能设计得非常周到:
项目在网络协议支持方面非常全面:
IPv6支持,适应现代网络环境安全性是VPN最核心的要求,项目在这方面做得很扎实:
MFA):支持基于时间的一次性密码(TOTP),大幅提升账号安全性LDAP集成:可与企业Active Directory或OpenLDAP集成友好的监控功能让问题排查变得简单:
server.conf配置文件针对不同的使用场景,项目提供了灵活的网络配置选项:
在开始部署前,请确保你的服务器满足以下要求:
这是最简单的部署方式,适合快速测试和小规模使用:
# 创建数据目录
mkdir-p~/openvpn-data
# 启动容器
dockerrun-d\
--nameopenvpn\
--cap-add=NET_ADMIN\
-p1194:1194/udp\
-p8833:8833\
-v~/openvpn-data:/data\
-v/etc/localtime:/etc/localtime:ro\
docker.1ms.run/yyxx/openvpn参数说明:
--cap-add=NET_ADMIN:赋予容器网络管理权限,OpenVPN必需-p 1194:1194/udp:映射VPN服务端口(UDP协议)-p 8833:8833:映射Web管理界面端口-v ~/openvpn-data:/data:持久化数据目录,包含配置、证书等重要文件-v /etc/localtime:/etc/localtime:ro:同步系统时间,确保日志时间准确对于生产环境,推荐使用Docker Compose,便于管理和维护:
# CentOS/RHEL
yum install -y docker-compose-plugin
# Ubuntu/Debian
apt install -y docker-compose-pluginmkdir ~/openvpn&&cd~/openvpn
cat>docker-compose.yml<<'EOF'
services:
openvpn:
image:docker.1ms.run/yyxx/openvpn
container_name:openvpn
restart:unless-stopped
cap_add:
-NET_ADMIN
ports:
-"1194:1194/udp"
-"8833:8833"
volumes:
-./data:/data
-/etc/localtime:/etc/localtime:ro
EOFdocker compose up -ddocker compose logs -f openvpn如果你的网络环境支持IPv6,可以启用IPv6功能:
services:
openvpn:
image:docker.1ms.run/yyxx/openvpn
container_name:openvpn
restart:unless-stopped
cap_add:
-NET_ADMIN
ports:
-"1194:1194/udp"
-"8833:8833"
volumes:
-./data:/data
-/etc/localtime:/etc/localtime:ro
sysctls:
-net.ipv6.conf.default.disable_ipv6=0
-net.ipv6.conf.all.forwarding=1
networks:
default:
enable_ipv6:trueIPv6使用注意事项:
服务启动后,按以下步骤完成初始化:
第一步:登录管理界面
http://服务器IP:8833admin,密码admin第二步:生成客户端配置
管理" → "客户端"页面第三步:创建VPN账号
管理" → "VPN账号"页面第四步:客户端连接测试
OpenVPN客户端软件,用第三步创建账号访问http://服务器IP:8833下载对应平台软件对于企业用户,可以集成LDAP实现统一认证:
uidsAMAccountNameldaps://ldap.example.com:636注意:启用LDAP后,本地VPN账号将不再工作,所有认证都通过LDAP进行。
docker logs openvpn这是最常见的问题!原因是没有配置路由推送。
解决方案:
在Web界面【管理】-->【配置文件】查看 server.conf 配置中是否有类似内容:
push "dhcp-option DNS 8.8.8.8"
push "route 10.0.12.0 255.255.252.0"
push "route 172.17.0.0 255.255.0.0"
push "route 10.100.100.0 255.255.255.0"sysctl net.ipv4.ip_forward
# 应该返回: net.ipv4.ip_forward = 1iptables -t nat -L -n
# 应该看到 MASQUERADE 规则修改配置后,客户端必须断开重连才能获取新路由
按需添加,不要一股脑全加!判断方法:
# 1. 查看服务器网卡信息
ip addr show
# 2. 确定你要访问的目标
# - 只访问服务器本机? → 只加服务器内网网段
# 云服务器内网路由
push "route 10.0.12.0 255.255.252.0"
# - 要访问ZeroTier设备? → 加ZeroTier网段
push "route 10.100.100.0 255.255.255.0"
# - 要访问Docker容器内部? → 加Docker网段
push "route 172.17.0.0 255.255.0.0"
# 3. 使用最小配置原则
# 先加最必要的,测试通过后再按需添加逐步排查:
# 1. 在客户端检查路由表
# Windows: route print
# Mac/Linux: netstat -rn
# 2. 测试连通性
ping 10.8.0.1 # 测试VPN网关
ping 10.0.12.12 # 测试服务器IP
traceroute 10.0.12.12 # 查看路由路径
# 3. 检查防火墙
# 确认服务器和客户端防火墙都允许相关流量
对于需要访问开发环境的团队:
连锁企业或多分支机构可以:
对于注重网络隐私的个人用户:
网络安全从业者可以:
这是最常见的个人使用场景:
需求: 外出时访问家里的NAS、监控、智能家居
架构方案:
手机(外网) → OpenVPN(云服务器) → ZeroTier/EasyTier → 家里设备路由配置:
# OpenVPN配置
push "route 10.100.100.0 255.255.255.0" # ZeroTier网段
# 家里的NAS、路由器、摄像头都在这个网段实际效果:
http://10.244.244.5:5000 (家里NAS)http://10.244.244.6:8080 (家里监控)为什么不直接用ZeroTier?
该项目是一款结合了 Docker 部署与 Web 管理 UI 的 OpenVPN 解决方案,既保留了 OpenVPN 强大的网络安全能力,又通过 Web 界面降低了部署和维护门槛。对于希望快速构建自有 VPN 平台或希望在内部网络中实现便捷远程访问管理的团队和个人开发者,该项目是一种高效实用的方案。
一款用于监控 Solana 钱包活动、检测余额变化并接收实时警报的工具。
https://accursedgalaxy.github.io/Insider-Monitor/
https://github.com/AccursedGalaxy/Insider-Monitor
https://github.com/jxad/solana-rpc-gateway
一款高性能、可用于生产环境的 Solana RPC 基础架构网关。它提供跨多个 RPC 端点的智能负载均衡、自动故障转移和健康感知路由,支持 HTTP JSON-RPC 和 gRPC (Yellowstone) 协议。