Настройте OpenConnect VPN сървър за Cisco AnyConnect на Ubuntu 14.04 x64

OpenConnect сървър, известен също като ocserv, е VPN сървър, който комуникира през SSL. По дизайн целта му е да се превърне в сигурен, лек и бърз VPN сървър. OpenConnect сървърът използва OpenConnect SSL VPN протокол. Към момента на писане той също има експериментална съвместимост с клиенти, които използват AnyConnect SSL VPN протокол.

Тази статия ще ви покаже как да инсталирате и настроите ocserv на Ubuntu 14.04 x64.

Инсталиране на ocserv

Тъй като Ubuntu 14.04 не се доставя с ocserv, ще трябва да изтеглим изходния код и да го компилираме. Последната стабилна версия на ocserv е 0.9.2.

Изтеглете ocserv от официалния сайт.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

След това инсталирайте компилационните зависимости.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Компилирайте и инсталирайте ocserv.

./configure
make
make install

Конфигуриране на ocserv

Примерен конфигурационен файл се поставя под директорията ocser-0.9.2/doc. Ще използваме този файл като шаблон. Първо трябва да направим собствен CA сертификат и сървърен сертификат.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Създаваме CA шаблонен файл ( ca.tmpl) със съдържание, подобно на следното. Можете да зададете свои собствени "cn" и "организация".

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

След това генерирайте CA ключ и CA сертификат.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

След това създайте файл server.tmplс шаблон за сертификат за локален сървър ( ) със съдържанието по-долу. Моля, обърнете внимание на полето "cn", то трябва да съвпада с DNS името или IP адреса на вашия сървър.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

След това генерирайте сървърния ключ и сертификат.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Копирайте ключа, сертификата и конфигурационния файл в конфигурационната директория на ocserv.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Редактирайте конфигурационния файл под /etc/ocserv. Разкоментирайте или променете полетата, описани по-долу.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Генерирайте потребител, който ще се използва за влизане в ocserv.

ocpasswd -c /etc/ocserv/ocpasswd username

Активирайте NAT.

iptables -t nat -A POSTROUTING -j MASQUERADE

Активирайте IPv4 препращане. Редактирайте файла /etc/sysctl.conf.

net.ipv4.ip_forward=1

Приложете тази модификация.

sysctl -p /etc/sysctl.conf

Стартирайте ocserv и се свържете с помощта на Cisco AnyConnect

Първо, стартирайте ocserv.

ocserv -c /etc/ocserv/config

След това инсталирайте Cisco AnyConnect на всяко от вашите устройства, като iPhone, iPad или устройство с Android. Тъй като използвахме самоподписан сървърен ключ и сертификат, трябва да премахнем отметката от опцията, която предотвратява несигурни сървъри. Тази опция се намира в настройките на AnyConnect. В този момент можем да настроим нова връзка с името на домейна или IP адреса на нашия ocserv и създаденото от нас потребителско име/парола.

Свържете се и се наслаждавайте!