Iestatiet OpenConnect VPN serveri Cisco AnyConnect operētājsistēmā Ubuntu 14.04 x64

OpenConnect serveris, kas pazīstams arī kā ocserv, ir VPN serveris, kas sazinās, izmantojot SSL. Pēc konstrukcijas tā mērķis ir kļūt par drošu, vieglu un ātru VPN serveri. OpenConnect serveris izmanto OpenConnect SSL VPN protokolu. Rakstīšanas laikā tai ir arī eksperimentāla saderība ar klientiem, kuri izmanto AnyConnect SSL VPN protokolu.

Šajā rakstā tiks parādīts, kā instalēt un iestatīt ocserv operētājsistēmā Ubuntu 14.04 x64.

Instalējot ocserv

Tā kā Ubuntu 14.04 netiek piegādāts kopā ar ocserv, mums būs jālejupielādē avota kods un tas jākompilē. Jaunākā stabilā ocserv versija ir 0.9.2.

Lejupielādējiet ocserv no oficiālās vietnes.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Pēc tam instalējiet kompilēšanas atkarības.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Kompilējiet un instalējiet ocserv.

./configure
make
make install

ocserv konfigurēšana

Konfigurācijas faila paraugs tiek ievietots direktorijā ocser-0.9.2/doc. Mēs izmantosim šo failu kā veidni. Sākumā mums ir jāizveido savs CA sertifikāts un servera sertifikāts.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Mēs izveidojam CA veidnes failu ( ca.tmpl), kura saturs ir līdzīgs tālāk norādītajam. Jūs varat iestatīt savu "cn" un "organizāciju".

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Pēc tam ģenerējiet CA atslēgu un CA sertifikātu.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Pēc tam izveidojiet vietējā servera sertifikāta veidnes failu ( server.tmpl) ar tālāk norādīto saturu. Lūdzu, pievērsiet uzmanību laukam "cn", tam ir jāatbilst jūsu servera DNS nosaukumam vai IP adresei.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Pēc tam ģenerējiet servera atslēgu un sertifikātu.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Kopējiet atslēgu, sertifikātu un konfigurācijas failu ocserv konfigurācijas direktorijā.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Rediģējiet konfigurācijas failu zem /etc/ocserv. Atceliet komentārus vai mainiet tālāk aprakstītos laukus.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Ģenerējiet lietotāju, kas tiks izmantots, lai pieteiktos ocserv.

ocpasswd -c /etc/ocserv/ocpasswd username

Iespējot NAT.

iptables -t nat -A POSTROUTING -j MASQUERADE

Iespējot IPv4 pārsūtīšanu. Rediģēt failu /etc/sysctl.conf.

net.ipv4.ip_forward=1

Lietojiet šo modifikāciju.

sysctl -p /etc/sysctl.conf

Sāciet ocserv un izveidojiet savienojumu, izmantojot Cisco AnyConnect

Pirmkārt, sāciet ocserv.

ocserv -c /etc/ocserv/config

Pēc tam instalējiet Cisco AnyConnect jebkurā no savām ierīcēm, piemēram, iPhone, iPad vai Android ierīcē. Tā kā mēs izmantojām pašparakstītu servera atslēgu un sertifikātu, mums ir jānoņem atzīme opcijai, kas novērš nedrošus serverus. Šī opcija atrodas AnyConnect iestatījumos. Šajā brīdī mēs varam izveidot jaunu savienojumu ar mūsu ocserv domēna nosaukumu vai IP adresi un mūsu izveidoto lietotājvārdu/paroli.

Sazinieties un izbaudiet!