Маленький контейнер с клиентом OpenVPN

Ты мог бы подождать ещё несколько месяцев перед тем, как спрашивать, чтобы запомнилось лучше, но раз уж написано — просто читай. Хотя я всё же советую использовать wireguard, который поддерживается «из коробки» и работает молниеносно, вместо того чтобы тратить время на openvpn внутри контейнера...

Привет, дружище. Надеюсь, это тебе пригодится. Вот копия README с моего GitHub.

Dockerfile  
FROM alpine:3.16

RUN apk update && \
   apk upgrade && \
   apk add --no-cache openvpn iptables && \
   rm -rf /var/cache/apk

COPY ./entry.sh /root/  
COPY ./config.ovpn /root/  
COPY ./config.pass /root/  
RUN chmod +x /root/entry.sh  
ENTRYPOINT /root/entry.sh  

entry.sh  
#!/bin/sh  
set -x

/usr/sbin/openvpn --config /root/config.ovpn &  
until ip l sh tap0 >/dev/null 2>&1; do sleep 1; done  
sysctl -w net.ipv4.ip_forward=1  
/sbin/iptables -t nat -A POSTROUTING -o tap0 -j MASQUERADE  
/sbin/iptables -A FORWARD -i tap0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT  
/sbin/iptables -A FORWARD -i eth0 -o tap0 -j ACCEPT

while sleep 50; do  
 t=$(ping -c 10 service.home.internal.net | grep -o -E '[0-9]+ packets r' | grep -o -E '[0-9]+')
 if [ "$t" -eq 0 ]; then
   pkill -f openvpn  
   /usr/sbin/openvpn --config /root/config.ovpn &  
 fi  
done

config.ovpn  
Твоя конфигурация OpenVPN

config.pass  
Пароль сертификата

Описание  
Настроить OpenVPN клиент для доступа к домашней сети

Минимальные системные требования  
RouterOS 7.5 или новее  
arm, arm64 или x86 CPU  
10 МБ дискового пространства (внутреннее NAND-хранилище)

Использование  
Настрой контейнер на RouterOS. Подробности здесь.  
Замените config.ovpn и config.pass на свои файлы или настройте клиент под себя.  
Замените service.home.internal.net в entry.sh на какой-нибудь хост из вашей домашней сети (для проверки подключения). Это нужно для перезапуска соединения, если оно упадёт.

Сборка образа:  
docker buildx build --no-cache --platform linux/arm/v7 -t ovpn-container .  
docker save ovpn-container > ovpn-container.tar

архитектуры процессоров:  
linux/arm/v7 — ARM  
linux/arm64 — ARM64  
linux/amd64 — x86

Загрузите ovpn-container.tar на ваш роутер

Настройка сети контейнеров  
/interface/bridge/add name=dockers  
/interface/veth/add address=192.168.121.2/24 gateway=192.168.121.1 name=veth1  
/interface/bridge/port/add bridge=dockers interface=veth1  
/interface/list/member/add interface=dockers list=LAN  
/ip/address/add address=192.168.121.1/24 interface=dockers network=192.168.121.0  
/ip/firewall/nat/add action=masquerade chain=srcnat src-address-list=192.168.121.0/24

Настройка маршрутизации  
/routing/table/add disabled=no fib name=homeNetwork  
/ip/route/add disabled=no distance=1 dst-address=172.16.0.0/12 gateway=192.168.121.2 \  
   pref-src=0.0.0.0 routing-table=homeNetwork scope=30 suppress-hw-offload=no \  
   target-scope=1  
/routing/rule/add action=lookup disabled=no dst-address=172.16.0.0/12 table=homeNetwork

Создание контейнера  
/container/add file=ovpn-container.tar interface=veth1 dns=192.168.121.1 logging=yes  
/container/start 0

Готово, теперь вы можете получить доступ ко всем вашим сервисам в сети 172.16.0.0/12

Здравствуйте, если я проверяю настройки контейнера на обычном Linux (mint 22), то всё в порядке, маршрут создаётся, всё работает. Когда тот же контейнер запускаю на MikroTik, получаю ошибку от iptables: /sbin/iptables -A FORWARD -i tap0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT — не удалось применить модуль фильтров. Я использую hap ac², RouterOS версии 7.15stable. Разные версии Alpine Linux не помогли решить проблему. P.S. Сейчас интерфейс не tap0, а tun0. Может, кто-то сможет помочь с этой проблемой?