Подесите ОпенЦоннецт ВПН сервер за Цисцо АниЦоннецт на Убунту 14.04 к64

ОпенЦоннецт сервер, такође познат као оцсерв, је ВПН сервер који комуницира преко ССЛ-а. По дизајну, његов циљ је да постане сигуран, лаган и брз ВПН сервер. ОпенЦоннецт сервер користи ОпенЦоннецт ССЛ ВПН протокол. У време писања, такође има експерименталну компатибилност са клијентима који користе АниЦоннецт ССЛ ВПН протокол.

Овај чланак ће вам показати како да инсталирате и подесите оцсерв на Убунту 14.04 к64.

Инсталирање оцсерв

Пошто се Убунту 14.04 не испоручује са оцсервом, мораћемо да преузмемо изворни код и компајлирамо га. Најновија стабилна верзија оцсерва је 0.9.2.

Преузмите оцсерв са званичног сајта.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Затим инсталирајте зависности за компајлирање.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Компилирајте и инсталирајте оцсерв.

./configure
make
make install

Конфигурисање оцсерв

Узорак конфигурационе датотеке се налази у директоријуму ocser-0.9.2/doc. Користићемо ову датотеку као шаблон. Прво морамо да направимо сопствени ЦА сертификат и сертификат сервера.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Креирамо датотеку ЦА шаблона ( ca.tmpl) са садржајем сличним следећем. Можете подесити сопствену "цн" и "организацију".

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Затим генеришете ЦА кључ и ЦА сертификат.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Затим креирајте датотеку шаблона сертификата локалног сервера ( server.tmpl) са садржајем испод. Обратите пажњу на поље "цн", оно мора да одговара ДНС имену или ИП адреси вашег сервера.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Затим генеришите серверски кључ и сертификат.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Копирајте кључ, сертификат и конфигурациони фајл у оцсерв конфигурациони директоријум.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Уредите конфигурациону датотеку под /etc/ocserv. Уклоните коментаре или измените поља описана у наставку.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Генеришите корисника који ће се користити за пријаву на оцсерв.

ocpasswd -c /etc/ocserv/ocpasswd username

Омогући НАТ.

iptables -t nat -A POSTROUTING -j MASQUERADE

Омогућите ИПв4 прослеђивање. Уредите датотеку /etc/sysctl.conf.

net.ipv4.ip_forward=1

Примените ову модификацију.

sysctl -p /etc/sysctl.conf

Покрените оцсерв и повежите се користећи Цисцо АниЦоннецт

Прво покрените оцсерв.

ocserv -c /etc/ocserv/config

Затим инсталирајте Цисцо АниЦоннецт на било који од својих уређаја, као што су иПхоне, иПад или Андроид уређај. Пошто смо користили самопотписани серверски кључ и сертификат, морамо да поништимо опцију која спречава несигурне сервере. Ова опција се налази у подешавањима АниЦоннецт-а. У овом тренутку можемо да поставимо нову везу са именом домена или ИП адресом нашег оцсерв-а и корисничким именом/лозинком које смо креирали.

Повежите се и уживајте!