Postavite OpenConnect VPN poslužitelj za Cisco AnyConnect na Ubuntu 14.04 x64

OpenConnect poslužitelj, također poznat kao ocserv, je VPN poslužitelj koji komunicira preko SSL-a. Po dizajnu, njegov je cilj postati siguran, lagan i brz VPN poslužitelj. OpenConnect poslužitelj koristi OpenConnect SSL VPN protokol. U vrijeme pisanja, također ima eksperimentalnu kompatibilnost s klijentima koji koriste AnyConnect SSL VPN protokol.

Ovaj članak će vam pokazati kako instalirati i postaviti ocserv na Ubuntu 14.04 x64.

Instaliranje ocserv

Budući da se Ubuntu 14.04 ne isporučuje s ocservom, morat ćemo preuzeti izvorni kod i kompajlirati ga. Najnovija stabilna verzija ocserva je 0.9.2.

Preuzmite ocserv sa službene stranice.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Zatim instalirajte ovisnosti kompajliranja.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Sastavite i instalirajte ocserv.

./configure
make
make install

Konfiguriranje ocserv

Uzorak konfiguracijske datoteke nalazi se u direktoriju ocser-0.9.2/doc. Koristit ćemo ovu datoteku kao predložak. U početku moramo napraviti vlastiti CA certifikat i certifikat poslužitelja.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Izrađujemo datoteku CA predloška ( ca.tmpl) sa sadržajem sličnim sljedećem. Možete postaviti vlastite "cn" i "organizaciju".

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Zatim generirajte CA ključ i CA certifikat.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Zatim stvorite datoteku predloška certifikata lokalnog poslužitelja ( server.tmpl) sa sadržajem u nastavku. Obratite pažnju na polje "cn", ono mora odgovarati DNS imenu ili IP adresi vašeg poslužitelja.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Zatim generirajte ključ poslužitelja i certifikat.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Kopirajte ključ, certifikat i konfiguracijsku datoteku u ocserv konfiguracijski direktorij.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Uredite konfiguracijsku datoteku pod /etc/ocserv. Dekomentirajte ili izmijenite polja opisana u nastavku.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Generirajte korisnika koji će se koristiti za prijavu na ocserv.

ocpasswd -c /etc/ocserv/ocpasswd username

Omogućite NAT.

iptables -t nat -A POSTROUTING -j MASQUERADE

Omogućite IPv4 prosljeđivanje. Uredite datoteku /etc/sysctl.conf.

net.ipv4.ip_forward=1

Primijenite ovu izmjenu.

sysctl -p /etc/sysctl.conf

Pokrenite ocserv i povežite se pomoću Cisco AnyConnect

Prvo pokrenite ocserv.

ocserv -c /etc/ocserv/config

Zatim instalirajte Cisco AnyConnect na bilo koji od svojih uređaja, kao što su iPhone, iPad ili Android uređaj. Budući da smo koristili samopotpisani poslužiteljski ključ i certifikat, moramo poništiti opciju koja sprječava nesigurne poslužitelje. Ova se opcija nalazi u postavkama AnyConnect-a. U ovom trenutku možemo postaviti novu vezu s imenom domene ili IP adresom našeg ocserva i korisničkim imenom/lozinkom koje smo kreirali.

Povežite se i uživajte!