Nastavitev strežnika OpenConnect VPN za Cisco AnyConnect na Ubuntu 14.04 x64

Strežnik OpenConnect, znan tudi kot ocserv, je strežnik VPN, ki komunicira prek SSL. Njegov cilj je po zasnovi postati varen, lahek in hiter strežnik VPN. Strežnik OpenConnect uporablja protokol OpenConnect SSL VPN. V času pisanja ima tudi eksperimentalno združljivost z odjemalci, ki uporabljajo protokol AnyConnect SSL VPN.

Ta članek vam bo pokazal, kako namestiti in nastaviti ocserv na Ubuntu 14.04 x64.

Namestitev ocserv

Ker Ubuntu 14.04 ni priložen ocservu, bomo morali prenesti izvorno kodo in jo prevesti. Najnovejša stabilna različica ocserva je 0.9.2.

Prenesite ocserv z uradne strani.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Nato namestite odvisnosti za prevajanje.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Prevedi in namesti ocserv.

./configure
make
make install

Konfiguriranje ocserv

Vzorčna konfiguracijska datoteka je postavljena pod imenik ocser-0.9.2/doc. To datoteko bomo uporabili kot predlogo. Najprej moramo izdelati lasten certifikat CA in certifikat strežnika.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Ustvarimo datoteko predloge CA ( ca.tmpl) z vsebino, podobno naslednji. Nastavite lahko svoj "cn" in "organizacijo".

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Nato ustvarite ključ CA in potrdilo CA.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Nato ustvarite datoteko predloge potrdila lokalnega strežnika ( server.tmpl) s spodnjo vsebino. Bodite pozorni na polje "cn", ki se mora ujemati z imenom DNS ali naslovom IP vašega strežnika.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Nato ustvarite ključ strežnika in potrdilo.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Kopirajte ključ, potrdilo in konfiguracijsko datoteko v konfiguracijski imenik ocserv.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Uredite konfiguracijsko datoteko pod /etc/ocserv. Odpravite komentarje ali spremenite spodaj opisana polja.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Ustvarite uporabnika, ki bo uporabljen za prijavo v ocserv.

ocpasswd -c /etc/ocserv/ocpasswd username

Omogoči NAT.

iptables -t nat -A POSTROUTING -j MASQUERADE

Omogoči posredovanje IPv4. Uredite datoteko /etc/sysctl.conf.

net.ipv4.ip_forward=1

Uporabite to spremembo.

sysctl -p /etc/sysctl.conf

Zaženite ocserv in se povežite s Cisco AnyConnect

Najprej zaženite ocserv.

ocserv -c /etc/ocserv/config

Nato namestite Cisco AnyConnect v katero koli od svojih naprav, na primer iPhone, iPad ali napravo Android. Ker smo uporabili samopodpisani strežniški ključ in potrdilo, moramo počistiti možnost, ki preprečuje nevarne strežnike. Ta možnost se nahaja v nastavitvah AnyConnect. Na tej točki lahko nastavimo novo povezavo z imenom domene ali naslovom IP našega ocserva in uporabniškim imenom/geslom, ki smo ga ustvarili.

Povežite se in uživajte!