Nasazení kompatibilního VPN serveru AnyConnect s ověřením certifikátu na CentOS 7

AnyConnect je řešení vzdáleného přístupu vyvinuté společností Cisco. AnyConnect, známý svou přenositelností a stabilitou, zejména schopností DTLS, používá mnoho společností. Budeme používat verzi s otevřeným zdrojovým kódem ocserv, která je kompatibilní s protokolem.

Chystáme se také nasadit ověřování certifikátů. Server identifikuje klienty tak, že zkontroluje, zda je certifikát klienta vydán nakonfigurovaným CA. To značně zjednodušuje konfiguraci na klientech, protože budeme potřebovat pouze importovat certifikát na klienta (většinou soubor pkcs12 ( .pfxnebo .p12)) a nejsou vyžadována žádná hesla. To je také bezpečnější, protože žádná hesla necestují po internetu.

Začněme.

Předpoklady

• Nově vytvořený server CentOS 7 s povoleným protokolem IPv6
• Funkční počítač (může to být samotný server; i když zastaralé (viz níže)) viz poznámka 1
• Někteří klienti s nainstalovaným klientským softwarem AnyConnect (nebo OpenConnect) viz poznámka 2

Poznámky:

1. I když je možné (a poměrně pohodlné) dělat vše na serveru, proces nasazení sestává z generování soukromých klíčů používaných pro podepisování a z bezpečnostních důvodů by tento proces měl být proveden na vašem vlastním počítači.

2. Kvůli problémům s licencí neposkytnu odkazy na stažení klientského softwaru. Najít je pro svého klienta je však docela snadné. AnyConnect je aplikace v App Storech na hlavních mobilních platformách (iOS, Android, BlackBerry OS (v10 nebo vyšší), UWP) a jednoduché vyhledávání vám je přinese. Pro platformy PC vám nějaký Google nabídne vhodný software.

Instalace softwaru na straně serveru

Stroje CentOS 7 společnosti Vultr jsou nakonfigurovány s úložištěm EPEL. Nainstalujeme pouze ocservpomocí yum:

yum update
yum install ocserv

Aby věci fungovaly, potřebujeme certifikát serveru. Pokud máte název domény, Let's Encrypt bude nejjednodušší volbou.

yum install certbot
certbot certonly

Chcete-li se ověřit pomocí ACME CA, zvolte „roztočit dočasný webový server“. Pokud nemáte doménu, certifikát s vlastním podpisem bude vydán později.

Generování a konfigurace certifikátu

Tradiční PKI je poměrně nepohodlné, takže použijeme easyrsanástroj z projektu OpenVPN. Nainstalujte git na svůj pracovní počítač a naklonujte úložiště:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Vybudujeme CA a vystavíme certifikáty. Proveďte následující a zapište si někde nastavenou přístupovou frázi PEM:

./easyrsa init-pki
./easyrsa build-ca

Uchovávejte pki/private/ca.keyněkde v bezpečí. Únik, který učiní celou vaši infrastrukturu nepoužitelnou.

Pokud se rozhodnete použít certifikát serveru podepsaný svým držitelem, proveďte následující:

./easyrsa gen-req server

A zadejte IP adresu vašeho serveru jako běžný název.

./easyrsa sign-req server server

Tím podepíšete certifikát pro server. Přenos pki/issued/server.crta pki/ca.crtna /etc/ssl/certsa pki/private/server.keyna /etc/ssl/privatena vašem serveru.

Dále vytvoříme klientské certifikáty. Udělej následující:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Vyberte jméno klienta a vyplňte jej do pole pro běžné jméno. Zapamatujte si přístupovou frázi!

Dále vyexportujeme certifikát ve formátu pkcs12 pro použití na mobilních platformách. Dělat:

./easyrsa export-p12 client_01

Zvolte heslo pro export, k jehož zadání budete vyzváni při importu certifikátu do telefonu. Přeneste pki/private/client_01.p12do telefonu a importujte jej.

Konfigurace serveru

Vyplníme informace o certifikátu.

vim /etc/ocserv/ocserv.conf

Najděte server-certsekci a vyplňte následující:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Pamatujte, že pokud používáte certifikát podepsaný svým držitelem, nezapomeňte nejprve odstranit přístupovou frázi, openssl rsa -in server.key -out server-new.keyaby bylo ocservmožné použít soukromý klíč.

Najděte authsekci. Povolit tento řádek:

auth = "certificate"

A okomentujte všechny ostatní authřádky.

Odkomentujte tento řádek:

cert-user-oid = 2.5.4.3

Vyhledejte ipv6-networka vyplňte blok ipv6 vašeho serveru. Toto je blok, ze kterého bude server dávat pronájmy.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Nastavte servery DNS.

dns = 8.8.8.8
dns = 8.8.4.4

Povolit kompatibilitu s klienty Cisco.

cisco-client-compat = true

Otevřít porty, které jste nastavili v tcp-porta udp-porta umožnit maškarádu pro oba IPv4 a IPv6 v firewalld.

Spusťte server.

systemctl enable ocserv
systemctl start ocserv

Čas na zkoušku!

Server byl úspěšně nakonfigurován. Vytvořte připojení v klientovi a připojte se. Pokud se něco pokazí, použijte k ladění tento příkaz:

journalctl -fu ocserv

IPv6 by také měl fungovat na straně klienta, pokud váš klientský software podporuje ipv6, i když vám síť vašeho klienta neposkytne adresu. Přejděte na tuto stránku a otestujte.

Vše připraveno! Užijte si svůj nový VPN server kompatibilní s AnyConnect!