Nustatykite OpenConnect VPN serverį, skirtą Cisco AnyConnect Ubuntu 14.04 x64

„OpenConnect“ serveris, taip pat žinomas kaip „ocserv“, yra VPN serveris, kuris palaiko ryšį per SSL. Pagal dizainą jo tikslas yra tapti saugiu, lengvu ir greitu VPN serveriu. OpenConnect serveris naudoja OpenConnect SSL VPN protokolą. Rašymo metu jis taip pat turi eksperimentinį suderinamumą su klientais, kurie naudoja AnyConnect SSL VPN protokolą.

Šiame straipsnyje bus parodyta, kaip įdiegti ir nustatyti ocserv Ubuntu 14.04 x64.

Įdiegti ocserv

Kadangi Ubuntu 14.04 nėra pristatomas su ocserv, turėsime atsisiųsti šaltinio kodą ir jį sukompiliuoti. Naujausia stabili ocserv versija yra 0.9.2.

Atsisiųsti ocserv iš oficialios svetainės.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Tada įdiekite kompiliavimo priklausomybes.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Sukompiliuokite ir įdiekite ocserv.

./configure
make
make install

ocserv konfigūravimas

Pavyzdinis konfigūracijos failas patalpinamas po katalogu ocser-0.9.2/doc. Šį failą naudosime kaip šabloną. Iš pradžių turime sukurti savo CA sertifikatą ir serverio sertifikatą.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Sukuriame CA šablono failą ( ca.tmpl), kurio turinys panašus į toliau pateiktą. Galite nustatyti savo „cn“ ir „organizaciją“.

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Tada sugeneruokite CA raktą ir CA sertifikatą.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Tada sukurkite vietinio serverio sertifikato šablono failą ( server.tmpl) su toliau pateiktu turiniu. Atkreipkite dėmesį į lauką „cn“, jis turi atitikti jūsų serverio DNS pavadinimą arba IP adresą.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Tada sugeneruokite serverio raktą ir sertifikatą.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Nukopijuokite raktą, sertifikatą ir konfigūracijos failą į ocserv konfigūracijos katalogą.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Redaguokite konfigūracijos failą pagal /etc/ocserv. Panaikinkite komentarus arba pakeiskite toliau aprašytus laukus.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Sugeneruokite vartotoją, kuris bus naudojamas prisijungti prie ocserv.

ocpasswd -c /etc/ocserv/ocpasswd username

Įgalinti NAT.

iptables -t nat -A POSTROUTING -j MASQUERADE

Įgalinti IPv4 persiuntimą. Redaguoti failą /etc/sysctl.conf.

net.ipv4.ip_forward=1

Taikykite šį pakeitimą.

sysctl -p /etc/sysctl.conf

Paleiskite ocserv ir prisijunkite naudodami Cisco AnyConnect

Pirma, pradėkite ocserv.

ocserv -c /etc/ocserv/config

Tada įdiekite „Cisco AnyConnect“ bet kuriame savo įrenginyje, pvz., „iPhone“, „iPad“ arba „Android“ įrenginyje. Kadangi naudojome savarankiškai pasirašytą serverio raktą ir sertifikatą, turime atžymėti parinktį, kuri apsaugo nuo nesaugių serverių. Ši parinktis yra „AnyConnect“ nustatymuose. Šiuo metu galime užmegzti naują ryšį su mūsų ocserv domeno pavadinimu arba IP adresu ir sukurtu vartotojo vardu / slaptažodžiu.

Prisijunkite ir mėgaukitės!