咱们先理清楚你的场景：你用Macvlan给容器分配了宿主机同网段的独立IP（192.168.0.48），本地192.168.0.0/24网络的设备能正常ping通容器，但VPN客户端（12.20.0.0/24网段）就是连不上，哪怕在容器里手动加了指向OpenVPN服务器（192.168.0.150）的路由也没用。下面咱们一步步排查问题，找到解决方案：

核心问题在哪？ #

Macvlan容器本质上是直接挂在物理网卡上的独立网络设备，和宿主机同网段但网络隔离。你只在容器里加了去VPN网段的路由，但忽略了反向路由——VPN客户端发过来的流量，到了OpenVPN服务器之后，服务器不知道该怎么把响应发回给容器的IP 192.168.0.48，这才是关键！

具体排查步骤与解决方案 #

1. 先给OpenVPN服务器加反向路由 #

首先确认：VPN客户端能访问宿主机所在的192.168.0.0/24网段吗？如果可以，那问题肯定出在OpenVPN服务器的路由上。你需要在OpenVPN服务器上添加一条静态路由，告诉它“要找192.168.0.48这个IP，就把流量发给192.168.0.10（你的网关）”：

ip route add 192.168.0.48/32 via 192.168.0.10 dev <你的物理网卡名>

如果你想让整个Macvlan子网的容器都能被VPN访问，就把路由改成网段：

ip route add 192.168.0.0/24 via 192.168.0.10 dev <你的物理网卡名>

（这里的<你的物理网卡名>是OpenVPN服务器上连接192.168.0.0/24网络的网卡，比如eno1，你可以用ip addr命令查看）

2. 打通宿主机和Macvlan容器的通信（如果OpenVPN在宿主机上） #

默认情况下，宿主机和Macvlan容器之间是隔离的，流量互相发不出去。如果你的OpenVPN服务器就装在这台宿主机上，那这个隔离会导致VPN流量无法转发到容器。咱们可以在宿主机上创建一个Macvlan子接口来打破这个隔离：

# 创建macvlan子接口
ip link add mac0 link eno1 type macvlan mode bridge
# 给子接口分配一个同网段的IP（别和容器、其他设备冲突）
ip addr add 192.168.0.49/24 dev mac0
# 启用子接口
ip link set mac0 up
# 添加路由，让宿主机知道要访问容器IP就走这个子接口
ip route add 192.168.0.48/32 dev mac0

3. 检查容器的防火墙（虽然Alpine默认没有，但还是确认下） #

Alpine默认没有开启防火墙，但以防万一，咱们可以检查下容器里有没有iptables规则阻止了VPN网段的流量：

docker exec my-macvlan-alpine iptables -L

如果看到有拒绝规则，就添加一条允许VPN网段的规则：

docker exec my-macvlan-alpine iptables -A INPUT -s 12.20.0.0/24 -j ACCEPT

4. 确认网关开启了IP转发 #

最后，你的网关（192.168.0.10）必须开启IP转发功能，否则它不会帮你转发不同网段之间的流量。登录网关服务器，执行：

sysctl net.ipv4.ip_forward

如果返回net.ipv4.ip_forward = 0，就开启它：

# 临时生效
sysctl -w net.ipv4.ip_forward=1
# 永久生效，编辑/etc/sysctl.conf，添加或修改net.ipv4.ip_forward=1，然后重启sysctl服务

关于--privileged权限的替代方案 #

完全没必要给容器加--privileged这么高的权限来加路由，Docker本身就提供了更安全的方式：

方案1：创建容器时直接指定路由 #

Docker支持在docker run命令里用--route参数直接添加路由，同时用--sysctl开启IP转发（如果需要的话）：

sudo docker run --rm -dit \
  --sysctl net.ipv4.ip_forward=1 \
  --network publicNet \
  --name my-macvlan-alpine \
  --ip="192.168.0.48" \
  --route 12.20.0.0/24 via 192.168.0.150 \
  alpine:latest ash

方案2：创建Macvlan网络时预设路由 #

如果你有多个容器都需要这条路由，干脆在创建Macvlan网络的时候就把路由加进去，这样所有连接到这个网络的容器都会自动继承这条路由：

sudo docker network create -d macvlan \
  -o parent=eno1 \
  --subnet 192.168.0.0/24 \
  --gateway 192.168.0.10 \
  --route 12.20.0.0/24 via 192.168.0.150 \
  publicNet

这样后续创建容器时不用再单独配置，也不需要任何特权权限，安全又省心。

最后总结下 #

最可能的原因就是OpenVPN服务器缺少反向路由，先把这条加上试试。如果还是不行，再依次排查宿主机和Macvlan的隔离问题、网关的IP转发、容器的防火墙。另外，别再用--privileged了，用Docker自带的路由配置更规范也更安全。

内容的提问来源于stack exchange，提问作者xibi