Konfigurer OpenConnect VPN Server for Cisco AnyConnect på Ubuntu 14.04 x64

OpenConnect-server, også kjent som ocserv, er en VPN-server som kommuniserer over SSL. Ved design er målet å bli en sikker, lett og rask VPN-server. OpenConnect-serveren bruker OpenConnect SSL VPN-protokollen. I skrivende stund har den også eksperimentell kompatibilitet med klienter som bruker AnyConnect SSL VPN-protokollen.

Denne artikkelen vil vise deg hvordan du installerer og konfigurerer ocserv på Ubuntu 14.04 x64.

Installerer ocserv

Siden Ubuntu 14.04 ikke leveres med ocserv, må vi laste ned kildekoden og kompilere den. Den siste stabile versjonen av ocserv er 0.9.2.

Last ned ocserv fra den offisielle siden.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Installer deretter kompileringsavhengighetene.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Kompiler og installer ocserv.

./configure
make
make install

Konfigurerer ocserv

En eksempelkonfigurasjonsfil er plassert under katalogen ocser-0.9.2/doc. Vi vil bruke denne filen som en mal. Til å begynne med må vi lage vårt eget CA-sertifikat og serversertifikat.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Vi lager en CA-malfil ( ca.tmpl) med innholdet som ligner på følgende. Du kan sette din egen "cn" og "organisasjon".

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Generer deretter en CA-nøkkel og CA-sertifikat.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Deretter oppretter du en malfil for lokal serversertifikat ( server.tmpl) med innholdet nedenfor. Vær oppmerksom på "cn"-feltet, det må samsvare med DNS-navnet eller IP-adressen til serveren din.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Generer deretter servernøkkelen og sertifikatet.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Kopier nøkkelen, sertifikatet og konfigurasjonsfilen til ocserv config-katalogen.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Rediger konfigurasjonsfilen under /etc/ocserv. Fjern kommentarer eller endre feltene beskrevet nedenfor.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Generer en bruker som skal brukes til å logge på ocserv.

ocpasswd -c /etc/ocserv/ocpasswd username

Aktiver NAT.

iptables -t nat -A POSTROUTING -j MASQUERADE

Aktiver IPv4-videresending. Rediger filen /etc/sysctl.conf.

net.ipv4.ip_forward=1

Bruk denne modifikasjonen.

sysctl -p /etc/sysctl.conf

Start ocserv og koble til ved hjelp av Cisco AnyConnect

Start først ocserv.

ocserv -c /etc/ocserv/config

Installer deretter Cisco AnyConnect på en av enhetene dine, for eksempel iPhone, iPad eller en Android-enhet. Siden vi brukte en selvsignert servernøkkel og sertifikat, må vi fjerne merket for alternativet som forhindrer usikre servere. Dette alternativet er plassert i innstillingene til AnyConnect. På dette tidspunktet kan vi sette opp en ny tilkobling med domenenavnet eller IP-adressen til vår server og brukernavnet/passordet vi opprettet.

Koble til og nyt!