AnyConnect saderīga VPN servera izvietošana ar sertifikāta verifikāciju operētājsistēmā CentOS 7

AnyConnect ir Cisco izstrādāts attālās piekļuves risinājums. AnyConnect, kas ir labi pazīstama ar savu pārnesamību un stabilitāti, jo īpaši ar DTLS iespējām, izmanto daudzi uzņēmumi. Mēs izmantosim atvērtā pirmkoda versiju ocserv, kas ir saderīga ar protokolu.

Mēs arī izvietosim sertifikāta verifikāciju. Serveris identificēs klientus, pārbaudot, vai klienta sertifikātu ir izsniegusi konfigurētā CA. Tas ievērojami vienkāršo klientu konfigurāciju, jo mums būs jāimportē tikai klienta sertifikāts (lielākoties pkcs12 fails ( .pfxvai .p12)), un paroles nav nepieciešamas. Tas ir arī drošāks, jo paroles netiek pārvietotas pa internetu.

Sāksim.

Priekšnoteikumi

• Jaunizveidots CentOS 7 serveris ar iespējotu IPv6
• Darbojošs dators (var būt pats serveris; tomēr novecojis (skatiet tālāk)) skatiet 1. piezīmi
• Dažus klientus ar instalētu AnyConnect (vai OpenConnect) klienta programmatūru skatiet 2. piezīmē

Piezīmes:

1. Lai gan visu ir iespējams (un diezgan ērti) darīt uz servera, izvietošanas process sastāv no parakstīšanai izmantoto privāto atslēgu ģenerēšanas un drošības apsvērumu dēļ šis process ir jāveic savā datorā.

2. Licencēšanas problēmu dēļ es nesniegšu saites, lai lejupielādētu klienta programmatūru. Tomēr tos atrast savam klientam ir diezgan viegli. AnyConnect ir lietotne App Store lielākajās mobilajās platformās (attiecīgi iOS, Android, BlackBerry OS (v10 vai jaunāka), UWP), un vienkārša meklēšana to parādīs. Personālo datoru platformām daži Google piedāvās jums piemērotu programmatūru.

Servera puses programmatūras instalēšana

Vultr CentOS 7 mašīnas ir konfigurētas ar EPEL repozitoriju. Mēs vienkārši instalējam ocservar yum:

yum update
yum install ocserv

Lai viss darbotos, mums būs nepieciešams servera sertifikāts. Ja jums ir domēna vārds, vienkāršākā izvēle būs Let's Encrypt.

yum install certbot
certbot certonly

Izvēlieties "izveidot pagaidu tīmekļa serveri", lai autentificētos ar ACME CA. Ja jums nav domēna, vēlāk tiks izsniegts pašparakstīts sertifikāts.

Sertifikātu ģenerēšana un konfigurēšana

Tradicionālā PKI lietošana ir diezgan neērta, tāpēc mēs izmantosim easyrsaOpenVPN projekta utilītu. Instalējiet git savā darba mašīnā un klonējiet repozitoriju:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Mēs izveidosim CA un izsniegsim sertifikātus. Veiciet tālāk norādītās darbības un ierakstiet kaut kur iestatīto PEM ieejas frāzi:

./easyrsa init-pki
./easyrsa build-ca

Glabājiet pki/private/ca.keykaut kur drošā vietā. Noplūde padarīs visu jūsu infrastruktūru nederīgu.

Ja izvēlaties izmantot pašparakstītu servera sertifikātu, rīkojieties šādi:

./easyrsa gen-req server

Un ievadiet sava servera IP adresi kā parasto nosaukumu.

./easyrsa sign-req server server

Tas parakstīs servera sertifikātu. Transfērs pki/issued/server.crtun pki/ca.crtlai /etc/ssl/certs, un pki/private/server.key, lai /etc/ssl/privateuz jūsu serveri.

Tālāk mēs izveidosim klientu sertifikātus. Veiciet tālāk norādītās darbības.

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Izvēlieties klienta vārdu un aizpildiet to parastā nosaukuma laukā. Atcerieties ieejas frāzi!

Tālāk mēs eksportēsim sertifikātu pkcs12 formātā lietošanai mobilajās platformās. Dariet:

./easyrsa export-p12 client_01

Izvēlieties eksportēšanas paroli, kas jums tiks lūgts ievadīt, importējot sertifikātu tālrunī. Pārsūtiet pki/private/client_01.p12uz tālruni un importējiet to.

Servera konfigurēšana

Mēs aizpildīsim sertifikāta informāciju.

vim /etc/ocserv/ocserv.conf

Atrodiet server-certsadaļu un aizpildiet:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Ņemiet vērā: ja izmantojat pašparakstītu sertifikātu, neaizmirstiet vispirms noņemt ieejas frāzi, openssl rsa -in server.key -out server-new.keylai ocservvarētu izmantot privāto atslēgu.

Atrodiet authsadaļu. Iespējot šo rindu:

auth = "certificate"

Un komentējiet visas pārējās authrindas.

Atceliet šīs rindas komentārus:

cert-user-oid = 2.5.4.3

Atrodiet ipv6-networkun aizpildiet servera ipv6 bloku. Šis ir bloks, no kura serveris piešķirs nomas līgumus.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Iestatiet DNS serverus.

dns = 8.8.8.8
dns = 8.8.4.4

Iespējot saderību ar Cisco klientiem.

cisco-client-compat = true

Atveriet portus iestatītajiem tcp-portun udp-portun ļauj maskēties gan IPv4 un IPv6 firewalld.

Sāciet serveri.

systemctl enable ocserv
systemctl start ocserv

Pārbaudes laiks!

Serveris ir veiksmīgi konfigurēts. Izveidojiet savienojumu savā klientā un izveidojiet savienojumu. Ja kaut kas noiet greizi, izmantojiet šo komandu, lai atkļūdotu:

journalctl -fu ocserv

Turklāt IPv6 jādarbojas klienta pusē, ja jūsu klienta programmatūra atbalsta ipv6 pat tad, ja klienta tīkls nenorāda jums adresi. Dodieties uz šo vietni, lai pārbaudītu.

Viss kārtībā! Izbaudiet savu jauno ar AnyConnect saderīgo VPN serveri!