Asenna OpenConnect VPN Server Cisco AnyConnectille Ubuntu 14.04 x64

OpenConnect-palvelin, joka tunnetaan myös nimellä ocserv, on VPN-palvelin, joka kommunikoi SSL:n kautta. Suunniteltuna sen tavoitteena on tulla turvalliseksi, kevyeksi ja nopeaksi VPN-palvelimeksi. OpenConnect-palvelin käyttää OpenConnect SSL VPN -protokollaa. Kirjoitushetkellä sillä on myös kokeellinen yhteensopivuus asiakkaiden kanssa, jotka käyttävät AnyConnect SSL VPN -protokollaa.

Tämä artikkeli näyttää, kuinka ocserv asennetaan ja määritetään Ubuntu 14.04 x64:ssä.

Asennetaan ocserv

Koska Ubuntu 14.04 ei toimiteta ocservin kanssa, meidän on ladattava lähdekoodi ja käännettävä se. Ocservin uusin vakaa versio on 0.9.2.

Lataa ocserv viralliselta sivustolta.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Asenna seuraavaksi käännösriippuvuudet.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Kääntää ja asentaa ocserv.

./configure
make
make install

Konfiguroidaan ocserv

Esimerkki konfiguraatiotiedostosta sijoitetaan hakemiston alle ocser-0.9.2/doc. Käytämme tätä tiedostoa mallina. Aluksi meidän on tehtävä oma CA-sertifikaatti ja palvelinsertifikaatti.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Luomme CA-mallitiedoston ( ca.tmpl), jonka sisältö on seuraavanlainen. Voit määrittää oman "cn"- ja "organisaatiosi".

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Luo sitten CA-avain ja CA-sertifikaatti.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Luo seuraavaksi paikallisen palvelimen varmennemallitiedosto ( server.tmpl), jonka sisältö on alla. Kiinnitä huomiota "cn"-kenttään, sen on vastattava palvelimesi DNS-nimeä tai IP-osoitetta.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Luo sitten palvelinavain ja varmenne.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Kopioi avain, varmenne ja asetustiedosto ocserv-asetushakemistoon.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Muokkaa asetustiedostoa kohdassa /etc/ocserv. Poista kommentit tai muokkaa alla kuvattuja kenttiä.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Luo käyttäjä, jota käytetään kirjautumiseen ocserviin.

ocpasswd -c /etc/ocserv/ocpasswd username

Ota NAT käyttöön.

iptables -t nat -A POSTROUTING -j MASQUERADE

Ota IPv4-edelleenlähetys käyttöön. Muokkaa tiedostoa /etc/sysctl.conf.

net.ipv4.ip_forward=1

Ota tämä muutos käyttöön.

sysctl -p /etc/sysctl.conf

Käynnistä ocserv ja muodosta yhteys Cisco AnyConnectin avulla

Aloita ensin ocserv.

ocserv -c /etc/ocserv/config

Asenna sitten Cisco AnyConnect mihin tahansa laitteeseesi, kuten iPhoneen, iPadiin tai Android-laitteeseen. Koska käytimme itse allekirjoitettua palvelinavainta ja varmennetta, meidän on poistettava valinta, joka estää suojaamattomia palvelimia. Tämä vaihtoehto löytyy AnyConnectin asetuksista. Tässä vaiheessa voimme luoda uuden yhteyden ocserv-verkkotunnuksella tai IP-osoitteella ja luomallamme käyttäjätunnuksella/salasanalla.

Yhdistä ja nauti!