Nasadenie kompatibilného servera VPN AnyConnect s overením certifikátu na CentOS 7

AnyConnect je riešenie vzdialeného prístupu vyvinuté spoločnosťou Cisco. AnyConnect, známy svojou prenosnosťou a stabilitou, najmä schopnosťou DTLS, používa mnoho spoločností. Budeme používať verziu s otvoreným zdrojom ocserv, ktorá je kompatibilná s protokolom.

Chystáme sa nasadiť aj overovanie certifikátov. Server identifikuje klientov tak, že skontroluje, či certifikát klienta vydala nakonfigurovaná CA. To výrazne zjednodušuje konfiguráciu na klientoch, pretože budeme potrebovať iba importovať certifikát na klienta (väčšinou súbor pkcs12 ( .pfxalebo .p12)) a nie sú potrebné žiadne heslá. Je to tiež bezpečnejšie, pretože po internete necestujú žiadne heslá.

Začnime.

Predpoklady

• Novovytvorený server CentOS 7 s povoleným protokolom IPv6
• Funkčný počítač (môže to byť samotný server; aj keď zastarané (pozri nižšie)) pozri poznámku 1
• Niektorí klienti s nainštalovaným klientskym softvérom AnyConnect (alebo OpenConnect) pozri poznámku 2

Poznámky:

1. Hoci je možné (a pomerne pohodlné) robiť všetko na serveri, proces nasadenia pozostáva z generovania súkromných kľúčov používaných na podpisovanie a z bezpečnostných dôvodov by sa tento proces mal vykonávať na vašom vlastnom počítači.

2. Kvôli problémom s licenciou nebudem poskytovať odkazy na stiahnutie klientskeho softvéru. Nájsť ich pre svojho klienta je však celkom jednoduché. AnyConnect je aplikácia v App Store na hlavných mobilných platformách (iOS, Android, BlackBerry OS (v10 alebo novšia), UWP) a jednoduché vyhľadávanie vám ich prinesie. Pre platformy PC vám nejaký Google poskytne vhodný softvér.

Inštalácia softvéru na strane servera

Počítače CentOS 7 spoločnosti Vultr sú nakonfigurované s úložiskom EPEL. Nainštalujeme iba ocservpomocou yum:

yum update
yum install ocserv

Aby veci fungovali, potrebujeme certifikát servera. Ak máte názov domény, Let's Encrypt bude najjednoduchšou voľbou.

yum install certbot
certbot certonly

Zvoľte "spustiť dočasný webový server" na autentifikáciu s ACME CA. Ak nemáte doménu, certifikát s vlastným podpisom bude vydaný neskôr.

Generovanie a konfigurácia certifikátu

Použitie tradičného PKI je dosť nepohodlné, takže budeme používať easyrsapomôcku z projektu OpenVPN. Nainštalujte git na svoj pracovný počítač a naklonujte úložisko:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Vybudujeme CA a vydáme certifikáty. Urobte nasledovné a niekde napíšte prístupovú frázu PEM, ktorú ste nastavili:

./easyrsa init-pki
./easyrsa build-ca

Uschovajte pki/private/ca.keyniekde v bezpečí. Únik, ktorý spôsobí, že celá vaša infraštruktúra bude zbytočná.

Ak sa rozhodnete použiť certifikát servera s vlastným podpisom, postupujte takto:

./easyrsa gen-req server

A zadajte IP adresu vášho servera ako bežný názov.

./easyrsa sign-req server server

Tým sa podpíše certifikát pre server. Prenášať pki/issued/server.crta pki/ca.crtaby /etc/ssl/certsaj pki/private/server.keyna /etc/ssl/privatevašom serveri.

Ďalej vytvoríme klientske certifikáty. Postupujte takto:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Vyberte meno klienta a vyplňte ho do poľa pre bežné meno. Zapamätajte si prístupovú frázu!

Ďalej vyexportujeme certifikát vo formáte pkcs12 pre použitie na mobilných platformách. Urobte:

./easyrsa export-p12 client_01

Zvoľte si exportné heslo, ktoré budete vyzvaní zadať pri importe certifikátu do telefónu. Preneste pki/private/client_01.p12do telefónu a importujte ho.

Konfigurácia servera

Vyplníme informácie o certifikáte.

vim /etc/ocserv/ocserv.conf

Nájdite server-certsekciu a vyplňte nasledovné:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Upozorňujeme, že ak používate certifikát s vlastným podpisom, nezabudnite najprv odstrániť prístupovú frázu openssl rsa -in server.key -out server-new.key, aby ste ocservmohli použiť súkromný kľúč.

Nájdite authsekciu. Povoliť tento riadok:

auth = "certificate"

A komentujte všetky ostatné authriadky.

Odkomentujte tento riadok:

cert-user-oid = 2.5.4.3

Nájdite ipv6-networka vyplňte blok ipv6 vášho servera. Toto je blok, z ktorého bude server prenajímať.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Nastavte servery DNS.

dns = 8.8.8.8
dns = 8.8.4.4

Povoliť kompatibilitu s klientmi Cisco.

cisco-client-compat = true

Otvoriť porty, ktoré ste nastavili v tcp-porta udp-porta umožniť maškarády pre oba IPv4 a IPv6 v firewalld.

Spustite server.

systemctl enable ocserv
systemctl start ocserv

Testovací čas!

Server bol úspešne nakonfigurovaný. Vytvorte pripojenie vo svojom klientovi a pripojte sa. Ak sa niečo pokazí, použite tento príkaz na ladenie:

journalctl -fu ocserv

IPv6 by mal fungovať aj na strane klienta, ak váš klientsky softvér podporuje ipv6, aj keď vám sieť vášho klienta neposkytuje adresu. Prejdite na túto stránku a otestujte.

Všetko pripravené! Užite si svoj nový server VPN kompatibilný s AnyConnect!