„AnyConnect“ suderinamo VPN serverio diegimas su sertifikato patvirtinimu „CentOS 7“.

„AnyConnect“ yra „Cisco“ sukurtas nuotolinės prieigos sprendimas. „AnyConnect“, gerai žinoma dėl savo perkeliamumo ir stabilumo, ypač DTLS, naudoja daug įmonių. Naudosime atvirojo kodo versiją ocserv, kuri yra suderinama su protokolu.

Taip pat ketiname įdiegti sertifikato patvirtinimą. Serveris identifikuos klientus patikrindamas, ar kliento sertifikatą išdavė sukonfigūruota CA. Tai labai supaprastina klientų konfigūraciją, nes mums reikės tik importuoti kliento sertifikatą (dažniausiai pkcs12 failą ( .pfxarba .p12)) ir nereikia slaptažodžių. Tai taip pat yra saugesnė, nes slaptažodžiai nekeliauja po internetą.

Pradėkime.

Būtinos sąlygos

• Naujai sukurtas CentOS 7 serveris su įjungtu IPv6
• Veikiantis kompiuteris (gali būti ir pats serveris; tačiau pasenęs (žr. toliau)) žr. 1 pastabą
• Kai kurie klientai, kuriuose įdiegta „AnyConnect“ (arba „OpenConnect“) kliento programinė įranga, žr. 2 pastabą

Pastabos:

1. Nors serveryje galima (ir gana patogu) viską daryti, diegimo procesas susideda iš privačių raktų, naudojamų pasirašymui, generavimo ir dėl saugumo sumetimų šį procesą reikėtų atlikti savo kompiuteryje.

2. Dėl licencijavimo problemų nepateiksiu nuorodų, kaip atsisiųsti kliento programinę įrangą. Vis dėlto gana lengva juos rasti savo klientui. „AnyConnect“ yra programa, esanti „App Store“ pagrindinėse mobiliosiose platformose (atitinkamai „iOS“, „Android“, „BlackBerry OS“ (v10 arba naujesnė), UWP), ir paprasta paieška ją atneš. Kompiuterių platformoms kai kurie „Google“ pateiks jums tinkamą programinę įrangą.

Serverio pusės programinės įrangos diegimas

„Vultr's CentOS 7“ įrenginiai sukonfigūruoti su EPEL saugykla. Mes tiesiog montuojame ocservsu yum:

yum update
yum install ocserv

Kad viskas veiktų, mums reikės serverio sertifikato. Jei turite domeno pavadinimą, „Let's Encrypt“ bus lengviausias pasirinkimas.

yum install certbot
certbot certonly

Pasirinkite „Sukurti laikiną žiniatinklio serverį“, kad patvirtintumėte tapatybę naudodami ACME CA. Jei domeno neturite, vėliau bus išduotas savarankiškai pasirašytas sertifikatas.

Sertifikatų generavimas ir konfigūravimas

Tradicinį PKI naudoti gana nepatogu, todėl naudosime easyrsaOpenVPN projekto įrankį. Įdiekite git į savo darbo mašiną ir klonuokite saugyklą:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Sukursime CA ir išduosime sertifikatus. Atlikite šiuos veiksmus ir kur nors parašykite PEM slaptafrazę:

./easyrsa init-pki
./easyrsa build-ca

Laikykite pki/private/ca.keykur nors saugiai. Dėl nutekėjimo visa jūsų infrastruktūra taps nenaudinga.

Jei pasirenkate naudoti savarankiškai pasirašytą serverio sertifikatą, atlikite šiuos veiksmus:

./easyrsa gen-req server

Įveskite savo serverio IP adresą kaip bendrą pavadinimą.

./easyrsa sign-req server server

Taip bus pasirašytas serverio sertifikatas. Perkelti pki/issued/server.crtir pki/ca.crtį /etc/ssl/certsir pki/private/server.keyį /etc/ssl/privatesavo serverį.

Toliau sukursime kliento sertifikatus. Atlikite šiuos veiksmus:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Pasirinkite kliento vardą ir įveskite jį į bendro pavadinimo lauką. Prisiminkite slaptafrazę!

Toliau eksportuosime sertifikatą pkcs12 formatu, kad būtų galima naudoti mobiliosiose platformose. Atlikite:

./easyrsa export-p12 client_01

Pasirinkite eksportavimo slaptažodį, kurį būsite paraginti įvesti importuodami sertifikatą į telefoną. Perkelkite pki/private/client_01.p12į savo telefoną ir importuokite.

Serverio konfigūravimas

Mes užpildysime sertifikato informaciją.

vim /etc/ocserv/ocserv.conf

Raskite server-certskyrių ir užpildykite šiuos duomenis:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Atminkite, kad jei naudojate savarankiškai pasirašytą sertifikatą, nepamirškite pirmiausia pašalinti slaptafrazės openssl rsa -in server.key -out server-new.key, kad ocservgalėtumėte naudoti privatųjį raktą.

Raskite authskyrių. Įgalinti šią eilutę:

auth = "certificate"

Ir pakomentuokite visas kitas autheilutes.

Atšaukti šios eilutės komentarą:

cert-user-oid = 2.5.4.3

Raskite ipv6-networkir užpildykite savo serverio IPv6 bloką. Tai blokas, iš kurio serveris išnuomos.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Nustatykite DNS serverius.

dns = 8.8.8.8
dns = 8.8.4.4

Įgalinkite suderinamumą su Cisco klientais.

cisco-client-compat = true

Atidarykite prievadus, kuriuos nustatėte, tcp-portir udp-portįgalinkite maskaradą tiek ipv4, tiek ipv6 ugniasienėje.

Paleiskite serverį.

systemctl enable ocserv
systemctl start ocserv

Bandymo laikas!

Serveris sėkmingai sukonfigūruotas. Sukurkite ryšį savo kliente ir prisijunkite. Jei viskas nepavyksta, naudokite šią komandą derinimui:

journalctl -fu ocserv

Be to, IPv6 turėtų veikti kliento pusėje, jei kliento programinė įranga palaiko ipv6, net jei kliento tinklas nepateikia jums adreso. Norėdami išbandyti, eikite į šią svetainę .

Viskas paruošta! Mėgaukitės naujuoju su AnyConnect suderinamu VPN serveriu!