Implementering af AnyConnect-kompatibel VPN-server med certifikatbekræftelse på CentOS 7

AnyConnect er en fjernadgangsløsning udviklet af Cisco. AnyConnect, der er kendt for sin bærbarhed og stabilitet, især sin DTLS-evne, bruges af mange virksomheder. Vi kommer til at bruge en open source-version, ocserv, som er kompatibel med protokollen.

Vi vil også implementere certifikatbekræftelse. Serveren vil identificere klienterne ved at kontrollere, at hvis klientens certifikat er udstedt af den konfigurerede CA. Dette forenkler i høj grad konfigurationen på klienter, da vi kun behøver at importere certifikatet på klienten (oftest en pkcs12-fil ( .pfxeller .p12)), og der kræves ingen adgangskoder. Dette er også mere sikkert, da ingen adgangskoder rejser rundt på internettet.

Lad os begynde.

Forudsætninger

• En nyoprettet CentOS 7-server med IPv6 aktiveret
• En fungerende computer (kan være selve serveren; dog forældet (se nedenfor)) se note 1
• Nogle klienter med AnyConnect (eller OpenConnect) klientsoftware installeret, se note 2

Bemærkninger:

1. Selvom det er muligt (og ret praktisk) at gøre alt på serveren, består implementeringsprocessen af ​​at generere private nøgler, der bruges til signering, og på grund af sikkerhedsproblemer bør denne proces udføres på din egen computer.

2. På grund af licensproblemer giver jeg ikke links til at downloade klientsoftwaren. Det er dog ret nemt at finde dem til din klient. AnyConnect er en app i App Stores på store mobile platforme (iOS, Android, BlackBerry OS (v10 eller nyere), henholdsvis UWP), og en simpel søgning vil bringe dem til dig. For pc-platforme vil noget Googling præsentere dig for den passende software.

Installation af software på serversiden

Vultrs CentOS 7-maskiner er konfigureret med EPEL-lageret. Vi installerer bare ocservmed yum:

yum update
yum install ocserv

Vi skal bruge et servercertifikat for at tingene kan fungere. Hvis du har et domænenavn, vil Let's Encrypt være det nemmeste valg.

yum install certbot
certbot certonly

Vælg "spin op en midlertidig webserver" for at godkende med ACME CA. Hvis du ikke har et domæne, vil et selvsigneret certifikat blive udstedt senere.

Certifikatgenerering og konfiguration

Den traditionelle PKI er ret ubelejlig at bruge, så vi bruger easyrsaværktøjet fra OpenVPN-projektet. Installer git på din arbejdsmaskine og klon depotet:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Vi bygger CA'en og udsteder certifikater. Gør følgende, og skriv den PEM-adgangssætning, du har angivet et sted:

./easyrsa init-pki
./easyrsa build-ca

Opbevar pki/private/ca.keyet sikkert sted. Lækage, der vil gøre hele din infrastruktur ubrugelig.

Hvis du vælger at bruge et selvsigneret servercertifikat, skal du gøre følgende:

./easyrsa gen-req server

Og indtast din servers IP-adresse som det almindelige navn.

./easyrsa sign-req server server

Dette vil underskrive et certifikat for serveren. Overfør pki/issued/server.crtog pki/ca.crttil /etc/ssl/certsog pki/private/server.keytil /etc/ssl/privatepå din server.

Dernæst vil vi oprette klientcertifikater. Gør følgende:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Vælg et navn på klienten, og udfyld det i feltet med almindeligt navn. Husk adgangssætningen!

Dernæst skal vi eksportere certifikatet i pkcs12-format til brug på mobile platforme. Gør:

./easyrsa export-p12 client_01

Vælg en eksportadgangskode, som du bliver bedt om at indtaste, når du importerer certifikatet på telefonen. Overfør pki/private/client_01.p12til din telefon og importer den.

Konfiguration af serveren

Vi udfylder certifikatoplysningerne.

vim /etc/ocserv/ocserv.conf

Find server-certsektionen og udfyld følgende:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Bemærk, at hvis du bruger et selvsigneret certifikat, skal du huske at fjerne adgangssætningen først, openssl rsa -in server.key -out server-new.keyså du ocservkan bruge den private nøgle.

Find authsektion. Aktiver denne linje:

auth = "certificate"

Og kommenter alle andre authlinjer.

Fjern kommentarer til denne linje:

cert-user-oid = 2.5.4.3

Find ipv6-networkog udfyld din servers ipv6-blok. Dette er den blok, som serveren vil give leasing fra.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Indstil DNS-servere.

dns = 8.8.8.8
dns = 8.8.4.4

Aktiver kompatibilitet med Cisco-klienter.

cisco-client-compat = true

Åbn de porte, du indstiller i, tcp-portog udp-portaktiver maskerade for både ipv4 og ipv6 i firewalld.

Start serveren.

systemctl enable ocserv
systemctl start ocserv

Test tid!

Serveren er blevet konfigureret. Opret en forbindelse i din klient og tilslut. Hvis tingene går galt, skal du bruge denne kommando til at fejlfinde:

journalctl -fu ocserv

IPv6 bør også fungere på klientsiden, hvis din klientsoftware understøtter ipv6, selvom din klients netværk ikke giver dig en adresse. Gå til denne side for at teste.

Klar! Nyd din nye AnyConnect-kompatible VPN-server!