Distribuere AnyConnect-kompatibel VPN-server med sertifikatverifisering på CentOS 7

AnyConnect er en fjerntilgangsløsning utviklet av Cisco. AnyConnect er kjent for sin portabilitet og stabilitet, spesielt sin DTLS-evne, og brukes av mange selskaper. Vi kommer til å bruke en åpen kildekode-versjon, ocserv, som er kompatibel med protokollen.

Vi kommer også til å distribuere sertifikatverifisering. Serveren vil identifisere klientene ved å sjekke at hvis klientens sertifikat er utstedt av den konfigurerte CA. Dette forenkler konfigurasjonen på klienter i stor grad ettersom vi bare trenger å importere sertifikatet på klienten (oftest en pkcs12-fil ( .pfxeller .p12)) og ingen passord kreves. Dette er også sikrere siden ingen passord reiser rundt på Internett.

La oss begynne.

Forutsetninger

• En nyopprettet CentOS 7-server med IPv6 aktivert
• En fungerende datamaskin (kan være selve serveren, men utdatert (se nedenfor)) se note 1
• Noen klienter med AnyConnect (eller OpenConnect) klientprogramvare installert, se note 2

Merknader:

1. Selv om det er mulig (og ganske praktisk) å gjøre alt på serveren, består distribusjonsprosessen av å generere private nøkler som brukes til signering, og på grunn av sikkerhetshensyn bør denne prosessen gjøres på din egen datamaskin.

2. På grunn av lisensieringsproblemer vil jeg ikke gi koblinger for å laste ned klientprogramvaren. Å finne dem for kunden din er imidlertid ganske enkelt. AnyConnect er en app i App Stores på store mobile plattformer (iOS, Android, BlackBerry OS (v10 eller nyere), henholdsvis UWP), og et enkelt søk vil bringe dem til deg. For PC-plattformer vil noe Googling gi deg den passende programvaren.

Programvareinstallasjon på serversiden

Vultrs CentOS 7-maskiner er konfigurert med EPEL-depotet. Vi installerer bare ocservmed yum:

yum update
yum install ocserv

Vi trenger et serversertifikat for at ting skal fungere. Hvis du har et domenenavn, vil Let's Encrypt være det enkleste valget.

yum install certbot
certbot certonly

Velg "spinn opp en midlertidig webserver" for å autentisere med ACME CA. Hvis du ikke har et domene, vil et selvsignert sertifikat bli utstedt senere.

Sertifikatgenerering og konfigurasjon

Den tradisjonelle PKI-en er ganske upraktisk å bruke, så vi bruker easyrsaverktøyet fra OpenVPN-prosjektet. Installer git på arbeidsmaskinen din og klon depotet:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Vi skal bygge CA og utstede sertifikater. Gjør følgende og skriv PEM-passordet du angir et sted:

./easyrsa init-pki
./easyrsa build-ca

Hold pki/private/ca.keyet trygt sted. Lekkasje som vil gjøre hele infrastrukturen din ubrukelig.

Hvis du velger å bruke et selvsignert serversertifikat, gjør følgende:

./easyrsa gen-req server

Og skriv inn serverens IP-adresse som vanlig navn.

./easyrsa sign-req server server

Dette vil signere et sertifikat for serveren. Overfør pki/issued/server.crtog pki/ca.crttil /etc/ssl/certsog pki/private/server.keytil /etc/ssl/privatepå serveren din.

Deretter oppretter vi klientsertifikater. Gjør følgende:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Velg et navn på klienten og fyll det inn i fellesnavnfeltet. Husk passordfrasen!

Deretter skal vi eksportere sertifikatet i pkcs12-format for bruk på mobile plattformer. Gjøre:

./easyrsa export-p12 client_01

Velg et eksportpassord som du blir bedt om å angi når du importerer sertifikatet til telefonen. Overfør pki/private/client_01.p12til telefonen og importer den.

Konfigurerer serveren

Vi fyller ut sertifikatinformasjonen.

vim /etc/ocserv/ocserv.conf

Finn server-certseksjonen og fyll ut følgende:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Merk at hvis du bruker et selvsignert sertifikat, husk å fjerne passordfrasen først, openssl rsa -in server.key -out server-new.keyslik at du ocservkan bruke den private nøkkelen.

Finn authdelen. Aktiver denne linjen:

auth = "certificate"

Og kommenter alle andre authlinjer.

Fjern kommentarene til denne linjen:

cert-user-oid = 2.5.4.3

Finn ipv6-networkog fyll ut serverens ipv6-blokk. Dette er blokken som serveren vil gi leasing fra.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Sett DNS-servere.

dns = 8.8.8.8
dns = 8.8.4.4

Aktiver kompatibilitet med Cisco-klienter.

cisco-client-compat = true

Åpne portene du setter inn tcp-portog udp-portaktiver maskerade for både ipv4 og ipv6 i brannmuren.

Start serveren.

systemctl enable ocserv
systemctl start ocserv

Testtid!

Serveren har blitt konfigurert. Opprett en tilkobling i klienten din og koble til. Hvis ting går galt, bruk denne kommandoen for å feilsøke:

journalctl -fu ocserv

IPv6 bør også fungere på klientsiden hvis klientprogramvaren din støtter ipv6 selv om klientens nettverk ikke gir deg en adresse. Gå til denne siden for å teste.

Klar! Nyt din nye AnyConnect-kompatible VPN-server!