引言

​ 随着远程办公、跨地域访问与隐私保护需求的不断增长，VPN（虚拟专用网络）正在成为个人与企业必备的基础设施之一。而传统的 WireGuard VPN 配置流程对于普通用户而言存在一定门槛，需要大量命令行操作与手动配置。WG-Easy 正是在这种背景下应运而生的高效解决方案，它将 WireGuard 的强大性能与可视化管理相结合，大大降低部署和维护难度。

项目简介

WG-Easy（WireGuard Easy） 是一个将 WireGuard VPN 核心服务与 Web 可视化管理界面深度集成的开源项目。它通过直观的浏览器操作界面，让用户无需掌握复杂的命令行知识，即可快速完成 VPN 的部署、配置与监控。

设计理念：

• 开箱即用：基于 Docker 容器化部署，一条命令即可启动
• 可视化优先：所有操作均可在 Web 界面完成，告别配置文件
• 性能卓越：基于 WireGuard 协议，提供媲美直连的网络速度
• 安全可靠：采用现代密码学套件，代码简洁易审计

核心特性

WireGuard Easy 提供了一套完整的 VPN 管理功能,主要特性包括:

• 一体化架构：将 WireGuard 核心 VPN 与 Web 管理界面整合在一起。
• 快速部署：基于 Docker 容器化，一条命令即可启动完整 VPN 服务。
• 可视化管理面板：客户端创建、编辑、禁用、删除全部图形化完成。
• 二维码一键接入：自动生成配置二维码，便于移动设备一键连接。
• 一次性分享链接：生成临时配置链接，分享后自动失效，提升安全性
• 实时连接与流量监控：显示每个客户端的在线状态、上传 / 下载流量。
• 多语言 & 深浅色模式：自动适配浏览器语言，支持暗黑模式。
• Prometheus 监控支持：原生支持 Prometheus，便于接入 Grafana 统一监控体系。
• 双因素认证（2FA）：支持 TOTP 双因素认证，提升账户安全。
• 继承 WireGuard 的安全模型：公钥认证、现代加密算法，无密码、无证书链复杂度。

环境信息

WireGuard 内核支持检查

在部署前，请确认服务器内核已支持 WireGuard：

uname -r

加载 WireGuard 内核模块：

modprobe wireguard

验证是否成功：

lsmod | grep wireguard

说明：

• Linux Kernel ≥ 5.6 已内置 WireGuard
• Ubuntu 20.04+ / 22.04 LTS 默认支持
• 若加载失败，请检查内核版本或云厂商是否裁剪模块

基础环境

• 云服务器（VPS / 轻量云 / 物理机）
• 操作系统：Ubuntu 22.04 LTS（推荐）
• 具有域名 或 公网 IP
• 已安装 Docker / Docker Compose

网络与安全组要求

• UDP 51820（WireGuard 通信端口）
• TCP 51821（wg-easy Web 管理界面）
• 出口网络允许访问公网（用于 VPN 转发）

配置防火墙规则

# Ubuntu/Debian (使用 ufw)
sudo ufw allow 51820/udp comment 'WireGuard VPN'
sudo ufw allow 51821/tcp comment 'WG-Easy Web UI'

若云厂商启用防火墙 / 安全组，务必同步放行端口。

部署教程

方式一：Docker 命令行部署（快速上手）

1. 创建网络

docker network create \
  -d bridge --ipv6 \
  --subnet 10.42.42.0/24 \
  --subnet fdcc:ad94:bacf:61a3::/64 \
   wg

2. 启动容器

docker run -d \
  --net wg \
  -e INSECURE=true \
  --name wg-easy \
  --ip6 fdcc:ad94:bacf:61a3::2a \
  --ip 10.42.42.42 \
  -v ~/.wg-easy:/etc/wireguard \
  -v /lib/modules:/lib/modules:ro \
  -p 51820:51820/udp \
  -p 51821:51821/tcp \
  --cap-add NET_ADMIN \
  --cap-add SYS_MODULE \
  --sysctl net.ipv4.ip_forward=1 \
  --sysctl net.ipv4.conf.all.src_valid_mark=1 \
  --sysctl net.ipv6.conf.all.disable_ipv6=0 \
  --sysctl net.ipv6.conf.all.forwarding=1 \
  --sysctl net.ipv6.conf.default.forwarding=1 \
  --restart unless-stopped \
  ghcr.io/wg-easy/wg-easy:15

3. 访问 Web 界面

访问浏览器 http://服务器IP:51821 即可进入界面。

方式二：Docker Compose 部署（推荐）

1. 安装 Docker Compose

# Ubuntu/Debian
# sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
sudo apt install -y docker-compose-plugin

2. 创建配置目录

mkdir ~/wg-easy/ && mkdir ~/wg-easy/

3. 下载 Docker Compose 文件

sudo curl -o /etc/docker/containers/wg-easy/docker-compose.yml https://raw.githubusercontent.com/wg-easy/wg-easy/master/docker-compose.yml

4. 修改配置

• 编辑docker-compose.yml文件并取消environment注释INSECURE
• 设置INSECURE为true允许通过非安全http连接访问 Web UI。

完整docker-compose.yml文件如下：

volumes:
  etc_wireguard:

services:
  wg-easy:
volumes:
  etc_wireguard:

services:
  wg-easy:
    environment:
      - INSECURE=true
    image: ghcr.nju.edu.cn/wg-easy/wg-easy:15
    container_name: wg-easy
    networks:
      wg:
        ipv4_address: 10.42.42.42
        ipv6_address: fdcc:ad94:bacf:61a3::2a
    volumes:
      - etc_wireguard:/etc/wireguard
      - /lib/modules:/lib/modules:ro
    ports:
      - "51820:51820/udp"
      - "51821:51821/tcp"
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1
      - net.ipv6.conf.all.disable_ipv6=0
      - net.ipv6.conf.all.forwarding=1
      - net.ipv6.conf.default.forwarding=1

networks:
  wg:
    driver: bridge
    enable_ipv6: true
    ipam:
      driver: default
      config:
        - subnet: 10.42.42.0/24
        - subnet: fdcc:ad94:bacf:61a3::/64

5. 启动服务

# 启动容器
docker compose up -d

# 查看日志
docker compose logs -f wg-easy

# 查看容器状态
docker compose ps

访问浏览器 http://服务器IP:51821 即可进入界面。

初始配置

创建管理员账号

创建客户端配置

配置路由规则（重要）

修改客户端配置，添加允许的 IP ，决定哪些流量走 VPN：

# 全局代理（所有流量走 VPN）
0.0.0.0/0, ::/0

# 仅访问特定网段（分流模式，推荐）
10.42.42.0/24          # WireGuard 内网
10.7.0.0/22            # 服务器内网
172.17.0.0/24          # docker
192.168.1.0/24         # 家庭网络

分流模式的优势：

• 仅内网流量走 VPN，外网直连
• 节省 VPN 服务器带宽
• 访问国内网站速度更快

保存后即可通过扫描二维码或下载配置文件连接。

启用 Prometheus 监控

1. 在 WG-Easy 中启用

进入 管理面板 > 通用设置 > Prometheus，启用监控并设置密码。

2. 配置 Prometheus

在 Prometheus 配置文件中添加：以下是一个示例：

scrape_configs:
    - job_name: 'wg-easy'
      scrape_interval: 30s
      metrics_path: /metrics/prometheus
      static_configs:
          - targets:
                - '服务器IP:51821'
      authorization:
          type: Bearer
          credentials: '上一步设置的密码'

导入 Grafana 仪表盘

Grafana Dashboard ID：21733

项目界面预览

仪表盘

客户端连接

• Windows客户端

• iPhone客户端
  

适用场景

WG-Easy 适用于多种实际应用场景，从个人隐私保护到企业级远程访问，都能提供高效的解决方案：

• 远程办公 / 内网访问
  安全访问公司内网服务（Git、Jenkins、数据库、K8s 等）。

• 跨地域统一出口网络
  多终端统一出口 IP，便于访问特定区域网络资源。

• 家庭网络远程访问
  安全访问家中 NAS、路由器、智能家居设备、监控摄像头、内网服务。

• 小型团队 VPN 管理
  无需专业网络运维即可维护团队 VPN。

• 测试 / 沙箱 / 运维环境
  快速搭建临时 VPN，随用随删，配置可追溯。

相关链接

官方文档

• 官方网站: https://wg-easy.github.io/wg-easy/latest/
• GitHub 仓库: https://github.com/wg-easy/wg-easy
• 快速开始: https://wg-easy.github.io/wg-easy/latest/getting-started/
• 部署示例: https://wg-easy.github.io/wg-easy/latest/examples/tutorials/basic-installation/

高级配置

• Caddy 反向代理: https://wg-easy.github.io/wg-easy/latest/examples/tutorials/caddy/
• Traefik 反向代理: https://wg-easy.github.io/wg-easy/latest/examples/tutorials/traefik/
• 可选配置项: https://wg-easy.github.io/wg-easy/latest/advanced/config/optional-config/
• API 接口文档: https://wg-easy.github.io/wg-easy/latest/advanced/api/

客户端下载

社区支持

• 问题反馈: https://github.com/wg-easy/wg-easy/issues
• 讨论区: https://github.com/wg-easy/wg-easy/discussions
• 贡献指南: https://wg-easy.github.io/wg-easy/latest/contributing/general/

WireGuard vs IPsec vs OpenVPN 核心对比

快速选择指南

选择 WireGuard，如果你需要：

• [x] 极致性能（低延迟，高吞吐）
• [x] 移动场景（频繁切换网络）
• [x] 简单部署（快速上手）
• [x] 物联网 / 嵌入式设备
• 适用场景: 个人 VPN，移动办公，物联网，云原生环境

选择 IPsec，如果你需要：

• [x] 企业合规（FIPS，CC 等认证）
• [x] 站点互联
• [x] 操作系统原生集成
• [x] 传统设备兼容
• 适用场景: 企业站点互联，金融行业，高合规场景

选择 OpenVPN，如果你需要：

• [x] 最大兼容性（严格防火墙环境）
• [x] 灵活认证（用户名密码，双因素）
• [x] 成熟生态（丰富第三方工具）
• [x] 精细访问控制
• 适用场景: 企业远程访问，强防火墙环境

总结

WG-Easy 以其实用性和易用性，大幅降低了传统 WireGuard VPN 的部署门槛，使 VPN 架构不仅对开发者友好，也对非专业用户易于使用。

无论是个人自建 VPN，还是企业内网 VPN 管理，WG-Easy 都能提供简洁，高效，安全的解决方案，是非常值得推荐的开源 VPN 工具。

转载：https://mp.weixin.qq.com/s/l_himr7l9Kq5tRwNqnxLVQ

引言

​ 在现代互联网时代，数据安全、隐私保护和远程接入已成为企业与个人网络部署的核心需求。传统 VPN 解决方案在保障网络通信安全方面发挥了重要作用，而随着容器化技术的成熟，将 VPN 服务以 Docker 方式部署并结合 Web UI 管理，正成为自建网络服务的新趋势。

项目简介

GavinTan/openvpn 是一个基于Docker容器化部署的OpenVPN服务器项目，旨在通过直观的 Web 管理界面简化 VPN 管理。该解决方案提供对用户账户管理、客户端管理、证书管理、服务器配置和实时连接监控的集中控制，同时通过多因素身份验证和 LDAP 集成保持企业级安全性。

核心特性

1. 账号与权限管理

项目提供了完善的用户管理系统,支持本地账号和LDAP集成两种认证方式:

• 默认管理员账号为admin/admin,首次登录后可修改密码
• 支持模板导入创建多个VPN账号,每个账号可独立管理
• VPN用户可以登录专属页面,自行下载配置文件、修改密码、设置MFA
• 集成LDAP后可与企业现有的账号体系打通,实现统一认证

2. 证书与密钥管理

作为VPN的核心安全组件,证书管理功能设计得非常周到:

• 一键生成客户端证书和配置文件
• 支持证书的吊销和重新生成
• 自动管理证书有效期,避免过期导致的连接问题

3. 多协议与IPv6支持

项目在网络协议支持方面非常全面:

• 同时支持UDP和TCP协议,可根据网络环境灵活选择
• 完整的IPv6支持,适应现代网络环境
• 双栈配置,IPv4和IPv6可以同时工作
• 注意:使用IPv6时需要Docker网络和客户端都开启相应支持

4. 企业级安全特性

安全性是VPN最核心的要求,项目在这方面做得很扎实:

• 多因素认证(MFA):支持基于时间的一次性密码(TOTP),大幅提升账号安全性
• LDAP集成:可与企业Active Directory或OpenLDAP集成
• 固定IP分配:可为特定用户分配固定的VPN IP地址
• 加密标准:参考业界最佳实践配置加密算法和密钥长度

5. 监控与日志

友好的监控功能让问题排查变得简单:

• 连接历史记录,可查看每个用户的连接时间和时长
• 在线用户列表,实时掌握VPN使用情况
• 详细的日志记录,便于故障诊断
• 支持在线查看和编辑server.conf配置文件

6. 灵活的网络配置

针对不同的使用场景,项目提供了灵活的网络配置选项:

• 组网模式(默认):客户端只路由VPN内网流量,不影响正常上网
• 网关模式:客户端所有流量都通过VPN,实现完全的网络控制
• CCD支持:可为特定客户端定制路由和网络配置
• 支持在Web界面直接修改OpenVPN配置,启用自动更新后即时生效

部署教程

环境准备

在开始部署前,请确保你的服务器满足以下要求:

• 操作系统:Linux(推荐Ubuntu 20.04+或CentOS 7+)
• Docker版本:20.10+
• 网络:服务器需要有公网IP或可被客户端访问的网络地址

方式一:Docker Run 快速部署

这是最简单的部署方式,适合快速测试和小规模使用:

# 创建数据目录
mkdir-p~/openvpn-data

# 启动容器
dockerrun-d\
--nameopenvpn\
--cap-add=NET_ADMIN\
-p1194:1194/udp\
-p8833:8833\
-v~/openvpn-data:/data\
-v/etc/localtime:/etc/localtime:ro\
docker.1ms.run/yyxx/openvpn

参数说明:

• --cap-add=NET_ADMIN:赋予容器网络管理权限,OpenVPN必需
• -p 1194:1194/udp:映射VPN服务端口(UDP协议)
• -p 8833:8833:映射Web管理界面端口
• -v ~/openvpn-data:/data:持久化数据目录,包含配置、证书等重要文件
• -v /etc/localtime:/etc/localtime:ro:同步系统时间,确保日志时间准确

方式二:Docker Compose 部署

对于生产环境,推荐使用Docker Compose,便于管理和维护:

1. 安装Docker Compose

# CentOS/RHEL
yum install -y docker-compose-plugin

# Ubuntu/Debian
apt install -y docker-compose-plugin

2. 创建docker-compose.yml文件

mkdir ~/openvpn&&cd~/openvpn
cat>docker-compose.yml<<'EOF'
services:
openvpn:
    image:docker.1ms.run/yyxx/openvpn
    container_name:openvpn
    restart:unless-stopped
    cap_add:
      -NET_ADMIN
    ports:
      -"1194:1194/udp"
      -"8833:8833"
    volumes:
      -./data:/data
      -/etc/localtime:/etc/localtime:ro
EOF

3. 启动服务

docker compose up -d

4. 查看日志

docker compose logs -f openvpn

IPv6 支持配置

如果你的网络环境支持IPv6,可以启用IPv6功能:

services:
  openvpn:
    image:docker.1ms.run/yyxx/openvpn
    container_name:openvpn
    restart:unless-stopped
    cap_add:
      -NET_ADMIN
    ports:
      -"1194:1194/udp"
      -"8833:8833"
    volumes:
      -./data:/data
      -/etc/localtime:/etc/localtime:ro
    sysctls:
      -net.ipv6.conf.default.disable_ipv6=0
      -net.ipv6.conf.all.forwarding=1

networks:
default:
    enable_ipv6:true

IPv6使用注意事项:

• 需要在Web管理界面的系统设置中启用IPv6选项
• 客户端和服务端的协议都要指定为udp6或tcp6
• Docker网络必须启用IPv6支持
• OpenVPN Connect客户端需要3.4.1或更高版本

初始化配置流程

服务启动后,按以下步骤完成初始化:

第一步:登录管理界面

1. 浏览器访问 http://服务器IP:8833
2. 使用默认账号登录:用户名admin,密码admin
3. 登录后立即在系统设置中修改管理员密码

第二步:生成客户端配置

1. 进入"管理" → "客户端"页面
2. 点击"添加客户端",输入客户端名称、VPNServer及端口
3. 下载生成的.ovpn配置文件

第三步:创建VPN账号

1. 进入"管理" → "VPN账号"页面
2. 点击"添加账号",设置用户名和密码
3. 默认启用了账号验证,可根据需要关闭

第四步:客户端连接测试

1. 在客户端设备上安装OpenVPN客户端软件，用第三步创建账号访问http://服务器IP:8833下载对应平台软件
2. 导入第二步下载的配置文件
3. 使用第三步创建的账号密码连接
4. 连接成功后可在管理界面看到在线用户

LDAP集成配置

对于企业用户,可以集成LDAP实现统一认证:

1. 在系统设置中启用LDAP认证
2. 配置LDAP服务器参数:
   • OpenLDAP使用:uid
   • Windows AD使用:sAMAccountName
4. LDAP_URL:LDAP服务器地址,如ldaps://ldap.example.com:636
5. LDAP_USER_ATTRIBUTE:用户属性字段
6. LDAP_USER_ATTR_IPADDR_NAME:用于存储固定IP的字段(可选)
7. LDAP_USER_ATTR_CONFIG_NAME:用于存储客户端配置的字段(可选)

注意:启用LDAP后,本地VPN账号将不再工作,所有认证都通过LDAP进行。

常见问题排查

问题1: 容器启动失败

• 检查是否赋予了NET_ADMIN权限
• 确认端口1194和8833未被占用
• 查看容器日志:docker logs openvpn

问题2: 客户端无法连接

• 确认服务器防火墙放行了1194端口
• 检查客户端配置文件中的服务器地址是否正确
• 验证VPN账号是否启用

问题3: 连接后只能访问8833,无法访问其他服务

这是最常见的问题!原因是没有配置路由推送。

解决方案:

1. 检查路由是否已推送

在Web界面【管理】-->【配置文件】查看 server.conf 配置中是否有类似内容:

push "dhcp-option DNS 8.8.8.8"
push "route 10.0.12.0 255.255.252.0"
push "route 172.17.0.0 255.255.0.0"
push "route 10.100.100.0 255.255.255.0"

1. 检查服务器IP转发

sysctl net.ipv4.ip_forward
# 应该返回: net.ipv4.ip_forward = 1

1. 检查iptables规则

iptables -t nat -L -n
# 应该看到 MASQUERADE 规则

1. 客户端重新连接

修改配置后,客户端必须断开重连才能获取新路由

问题4: 不知道该添加哪些路由

按需添加,不要一股脑全加!判断方法:

# 1. 查看服务器网卡信息
ip addr show

# 2. 确定你要访问的目标
# - 只访问服务器本机? → 只加服务器内网网段
# 云服务器内网路由
push "route 10.0.12.0 255.255.252.0"

# - 要访问ZeroTier设备? → 加ZeroTier网段
push "route 10.100.100.0 255.255.255.0"

# - 要访问Docker容器内部? → 加Docker网段
push "route 172.17.0.0 255.255.0.0"

# 3. 使用最小配置原则
# 先加最必要的,测试通过后再按需添加

问题5: 路由配置后还是无法访问

逐步排查:

# 1. 在客户端检查路由表
# Windows: route print
# Mac/Linux: netstat -rn

# 2. 测试连通性
ping 10.8.0.1        # 测试VPN网关
ping 10.0.12.12      # 测试服务器IP
traceroute 10.0.12.12 # 查看路由路径

# 3. 检查防火墙
# 确认服务器和客户端防火墙都允许相关流量

项目界面预览

管理后台主页

客户端管理

账号管理

系统设置页面

自助页面下载安装客户端

适用场景

1. 企业远程办公

• 为员工提供安全的内网访问通道
• 与企业AD/LDAP集成,实现统一账号管理
• 通过MFA增强安全性
• 管理员可以随时查看连接情况,掌控网络安全

2. 开发团队协作

对于需要访问开发环境的团队:

• 为开发人员分配VPN账号,访问测试服务器
• 固定IP功能方便配置白名单
• 支持快速添加和删除用户,响应人员变动
• 详细的连接日志便于审计

3. 多地办公组网

连锁企业或多分支机构可以:

• 将各地办公网络通过VPN互联
• 使用组网模式不影响员工正常上网
• 集中管理所有分支的VPN接入
• 支持大规模部署,批量生成配置

4. 个人隐私保护

对于注重网络隐私的个人用户:

• 自建VPN服务器,避免使用商业VPN
• 启用网关模式,所有流量加密传输
• 通过MFA保护账号安全
• 完全掌控数据,无需担心隐私泄露

5. 安全测试与渗透

网络安全从业者可以:

• 搭建测试用VPN环境
• 快速为团队成员分配临时账号
• 灵活的网络配置满足各种测试场景
• 详细日志方便分析测试结果

6. 家庭智能设备远程访问(实用场景)

这是最常见的个人使用场景:

需求: 外出时访问家里的NAS、监控、智能家居

架构方案:

手机(外网) → OpenVPN(云服务器) → ZeroTier/EasyTier → 家里设备

路由配置:

# OpenVPN配置
push "route 10.100.100.0 255.255.255.0"  # ZeroTier网段
# 家里的NAS、路由器、摄像头都在这个网段

实际效果:

• 手机连上VPN后访问 http://10.244.244.5:5000 (家里NAS)
• 访问 http://10.244.244.6:8080 (家里监控)
• 不影响手机正常上网(微信、购物等不走VPN)

为什么不直接用ZeroTier?

• ZeroTier手机客户端常驻后台,耗电高
• OpenVPN用完就断,更省电
• 灵活性更好,可以给朋友临时分配访问权限

相关链接

• GitHub 仓库地址： https://github.com/GavinTan/openvpn
• 客户端地址：
  • windows：https://openvpn.net/downloads/openvpn-connect-v3-windows.msi
  • android：https://play.google.com/store/apps/details?id=net.openvpn.openvpn
  • macos：https://openvpn.net/downloads/openvpn-connect-v3-macos.dmg
  • linux：https://openvpn.net/openvpn-client-for-linux/
  • ios：https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

总结

​ 该项目是一款结合了 Docker 部署与 Web 管理 UI 的 OpenVPN 解决方案，既保留了 OpenVPN 强大的网络安全能力，又通过 Web 界面降低了部署和维护门槛。对于希望快速构建自有 VPN 平台或希望在内部网络中实现便捷远程访问管理的团队和个人开发者，该项目是一种高效实用的方案。

转载：https://mp.weixin.qq.com/s/FSMfjzZOr4TkI1o-OfjlSA