Uvođenje AnyConnect kompatibilnog VPN poslužitelja s provjerom certifikata na CentOS 7

AnyConnect je rješenje za daljinski pristup koje je razvio Cisco. Dobro poznat po svojoj prenosivosti i stabilnosti, posebno po DTLS sposobnostima, AnyConnect koriste mnoge tvrtke. Koristit ćemo verziju otvorenog koda ocserv, koja je kompatibilna s protokolom.

Također ćemo implementirati provjeru certifikata. Poslužitelj će identificirati klijente provjeravajući da li je klijentov certifikat izdao konfigurirani CA. Ovo uvelike pojednostavljuje konfiguraciju na klijentima jer ćemo samo trebati uvesti certifikat na klijenta (većinu puta pkcs12 datoteku ( .pfxili .p12)) i nisu potrebne lozinke. Ovo je također sigurnije jer nijedna zaporka ne putuje internetom.

Počnimo.

Preduvjeti

• Novostvoreni CentOS 7 poslužitelj s omogućenim IPv6
• Računalo koje radi (može biti i sam poslužitelj; zastarjelo je (vidi dolje)) vidi bilješku 1
• Neki klijenti s instaliranim klijentskim softverom AnyConnect (ili OpenConnect) pogledajte bilješku 2

Bilješke:

1. Iako je moguće (i prilično zgodno) učiniti sve na poslužitelju, proces postavljanja sastoji se od generiranja privatnih ključeva koji se koriste za potpisivanje, a zbog sigurnosnih razloga, ovaj bi se proces trebao obaviti na vlastitom računalu.

2. Zbog problema s licenciranjem, neću dati veze za preuzimanje klijentskog softvera. Međutim, prilično je jednostavno pronaći ih za svog klijenta. AnyConnect je aplikacija u App Storeovima na glavnim mobilnim platformama (iOS, Android, BlackBerry OS (v10 ili noviji), UWP) i jednostavno pretraživanje će ih donijeti do vas. Za PC platforme, Google će vam predstaviti odgovarajući softver.

Instalacija softvera na strani poslužitelja

Vultrov CentOS 7 stroj konfiguriran je s EPEL repozitorijom. Samo instaliramo ocservsa yum:

yum update
yum install ocserv

Trebat će nam certifikat poslužitelja da bi stvari funkcionirale. Ako imate naziv domene, Let's Encrypt će biti najlakši izbor.

yum install certbot
certbot certonly

Odaberite "spin up a temporary Web server" za provjeru autentičnosti s ACME CA. Ako nemate domenu, samopotpisani certifikat će biti izdat kasnije.

Generiranje i konfiguracija certifikata

Tradicionalni PKI prilično je nezgodan za korištenje, pa ćemo koristiti easyrsauslužni program iz OpenVPN projekta. Instalirajte git na svoj radni stroj i klonirajte spremište:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Izgradit ćemo CA i izdati certifikate. Učinite sljedeće i napišite PEM pristupnu frazu koju ste negdje postavili:

./easyrsa init-pki
./easyrsa build-ca

Čuvajte pki/private/ca.keynegdje na sigurnom. Curenje koje će cijelu vašu infrastrukturu učiniti beskorisnom.

Ako odlučite koristiti samopotpisani poslužiteljski certifikat, učinite sljedeće:

./easyrsa gen-req server

I unesite IP adresu vašeg poslužitelja kao uobičajeno ime.

./easyrsa sign-req server server

Ovo će potpisati certifikat za poslužitelj. Prebaci pki/issued/server.crta pki/ca.crtda /etc/ssl/certsi pki/private/server.keyda /etc/ssl/privatena vašem poslužitelju.

Zatim ćemo kreirati klijentske certifikate. Učinite sljedeće:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Odaberite ime klijenta i popunite ga u polje zajedničkog imena. Zapamtite pristupnu frazu!

Zatim ćemo izvesti certifikat u pkcs12 formatu za korištenje na mobilnim platformama. Čini:

./easyrsa export-p12 client_01

Odaberite lozinku za izvoz koju će od vas biti zatraženo da unesete prilikom uvoza certifikata na telefon. Prenesite pki/private/client_01.p12na svoj telefon i uvezite ga.

Konfiguriranje poslužitelja

Ispunit ćemo podatke o certifikatu.

vim /etc/ocserv/ocserv.conf

Pronađite server-certodjeljak i ispunite sljedeće:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Imajte na umu da ako koristite samopotpisani certifikat, ne zaboravite prvo ukloniti šifru openssl rsa -in server.key -out server-new.keytako da ocservmože koristiti privatni ključ.

Locirajte authodjeljak. Omogući ovu liniju:

auth = "certificate"

I komentirajte sve ostale authretke.

Dekomentiraj ovaj redak:

cert-user-oid = 2.5.4.3

Pronađite ipv6-networki ispunite ipv6 blok vašeg poslužitelja. Ovo je blok iz kojeg će poslužitelj dati zakup.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Postavite DNS poslužitelje.

dns = 8.8.8.8
dns = 8.8.4.4

Omogućite kompatibilnost sa Cisco klijentima.

cisco-client-compat = true

Otvoriti portove koje ste postavili na tcp-portte udp-porti omogućiti maskenbal za IPv4 i IPv6 u firewalld.

Pokrenite poslužitelj.

systemctl enable ocserv
systemctl start ocserv

Vrijeme za testiranje!

Poslužitelj je uspješno konfiguriran. Stvorite vezu u svom klijentu i povežite se. Ako stvari krenu krivo, upotrijebite ovu naredbu za otklanjanje pogrešaka:

journalctl -fu ocserv

Također, IPv6 bi trebao raditi na strani klijenta ako vaš klijentski softver podržava ipv6 čak i ako vam mreža vašeg klijenta ne daje adresu. Idite na ovu stranicu za testiranje.

Sve spremno! Uživajte u svom novom AnyConnect kompatibilnom VPN poslužitelju!