Konfigurer OpenConnect VPN Server til Cisco AnyConnect på Ubuntu 14.04 x64

OpenConnect-server, også kendt som ocserv, er en VPN-server, der kommunikerer over SSL. Designet er dets mål at blive en sikker, let og hurtig VPN-server. OpenConnect-serveren bruger OpenConnect SSL VPN-protokollen. I skrivende stund har den også eksperimentel kompatibilitet med klienter, der bruger AnyConnect SSL VPN-protokollen.

Denne artikel viser dig, hvordan du installerer og opsætter ocserv på Ubuntu 14.04 x64.

Installerer ocserv

Da Ubuntu 14.04 ikke leveres med ocserv, bliver vi nødt til at downloade kildekoden og kompilere den. Den seneste stabile version af ocserv er 0.9.2.

Download ocserv fra det officielle websted.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Installer derefter kompileringsafhængighederne.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Kompiler og installer ocserv.

./configure
make
make install

Konfigurerer ocserv

En eksempelkonfigurationsfil er placeret under mappen ocser-0.9.2/doc. Vi vil bruge denne fil som en skabelon. I første omgang skal vi lave vores eget CA-cert og servercert.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Vi opretter en CA-skabelonfil ( ca.tmpl) med indholdet svarende til det følgende. Du kan indstille din egen "cn" og "organisation".

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Generer derefter en CA-nøgle og CA-certifikat.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Opret derefter en lokal servercertifikatskabelonfil ( server.tmpl) med indholdet nedenfor. Vær venligst opmærksom på "cn"-feltet, det skal matche DNS-navnet eller IP-adressen på din server.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Generer derefter servernøglen og certifikatet.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Kopier nøglen, certifikatet og konfigurationsfilen til ocserv config-biblioteket.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Rediger konfigurationsfilen under /etc/ocserv. Fjern kommentarer eller rediger felterne beskrevet nedenfor.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Generer en bruger, der skal bruges til at logge ind på ocserv.

ocpasswd -c /etc/ocserv/ocpasswd username

Aktiver NAT.

iptables -t nat -A POSTROUTING -j MASQUERADE

Aktiver IPv4-videresendelse. Rediger filen /etc/sysctl.conf.

net.ipv4.ip_forward=1

Anvend denne modifikation.

sysctl -p /etc/sysctl.conf

Start ocserv og tilslut ved hjælp af Cisco AnyConnect

Start først ocserv.

ocserv -c /etc/ocserv/config

Installer derefter Cisco AnyConnect på enhver af dine enheder, såsom iPhone, iPad eller en Android-enhed. Da vi brugte en selvsigneret servernøgle og et certifikat, er vi nødt til at fjerne markeringen af ​​indstillingen, som forhindrer usikre servere. Denne mulighed er placeret i indstillingerne for AnyConnect. På dette tidspunkt kan vi opsætte en ny forbindelse med domænenavnet eller IP-adressen på vores ocserv og det brugernavn/adgangskode, vi oprettede.

Tilslut og nyd!