Представляем ovpn-admin — веб-интерфейс для управления пользователями OpenVPN

Обслуживая большое количество проектов, мы пришли к необходимости простого управления OpenVPN (сертификатами и маршрутами для пользователей), подразумевая под этим веб-интерфейс вместо того, чтобы ходить по серверам/контейнерам и выполнять в них вручную команды. Поскольку существующие для этого решения (вроде Pritunl и OpenVPN AS) — коммерческие, несколько лет назад мы создали (и используем по сей день) свой интерфейс.

Недавно мы его переписали с Python на Go и обновили внешний вид*, что и навело на мысль поделиться разработкой с более широким сообществом. Итак, встречайте ovpn-admin!

* За первоначальный вариант на Python благодарю коллегу @vitaliy-sn, а за нескучные обои обновлённый интерфейс — erste.

Возможности и интерфейс

Ovpn-admin — это Open Source-проект, реализующий веб-интерфейс для управления OpenVPN. В настоящий момент утилита поддерживает только Linux и умеет:

• добавлять пользователей (генерировать сертификаты для них);

• отзывать/восстанавливать сертификаты пользователей;

• выдавать готовый файл конфига;

• отдавать метрики для Prometheus: срок действия сертификатов, количество пользователей (всего/подключенных), информация о подключенных пользователях;

• (опционально) прописывать CCD (client-config-dir) для каждого пользователя;

• (опционально) работать в режиме master/slave (синхронизация сертификатов и CCD с другим сервером);

• (опционально) задавать/менять пароль для дополнительной авторизации в OpenVPN.

Вот как выглядит интерфейс ovpn-admin:

Как попробовать

Ovpn-admin можно установить в систему или запускать в Docker-контейнере. Инструкции описаны в README проекта.

Исходный код проекта распространяется на условиях свободной лицензии (Apache License 2.0). Будем рады новым фичам, а также, конечно, ожидаем ваши issues и просто обсуждения на GitHub или в комментариях к этому посту.

Планы по развитию

Что бы хотелось улучшить в проекте? На данный момент у нас такой список доделок:

• добавить возможность дополнительной авторизации через OTP;

• добавить Helm-чарт как вариант установки;

• добавить группы пользователей;

• уйти от вызова утилиты easyrsa для генерации сертификатов;

• уйти от вызова bash.

P.S.

Читайте также в нашем блоге:

• «Наш рецепт отказоустойчивого VPN-сервера на базе tinc, OpenVPN, Linux»;

• другие Open Source-проекты:

  • «elasticsearch-extractor — утилита для извлечения индексов из снапшотов Elasticsearch»;

  • «Представляем k8s-image-availability-exporter для обнаружения пропавших образов в Kubernetes»;

  • «Представляем shell-operator: создавать операторы для Kubernetes стало ещё проще».