Installera AnyConnect-kompatibel VPN-server med certifikatverifiering på CentOS 7

AnyConnect är en fjärråtkomstlösning utvecklad av Cisco. AnyConnect är välkänt för sin portabilitet och stabilitet, särskilt sin DTLS-kapacitet, och används av många företag. Vi kommer att använda en öppen källkodsversion, ocserv, som är kompatibel med protokollet.

Vi kommer också att distribuera certifikatverifiering. Servern kommer att identifiera klienterna genom att kontrollera att om klientens certifikat är utfärdat av den konfigurerade CA. Detta förenklar konfigurationen på klienter avsevärt eftersom vi bara behöver importera certifikatet till klienten (oftast en pkcs12-fil ( .pfxeller .p12)) och inga lösenord krävs. Detta är också säkrare eftersom inga lösenord går runt på Internet.

Låt oss börja.

Förutsättningar

• En nyskapad CentOS 7-server med IPv6 aktiverat
• En fungerande dator (kan vara själva servern, dock utfasad (se nedan)) se not 1
• Vissa klienter med AnyConnect (eller OpenConnect) klientprogramvara installerad, se not 2

Anmärkningar:

1. Även om det är möjligt (och ganska bekvämt) att göra allt på servern, består distributionsprocessen av att generera privata nycklar som används för signering och på grund av säkerhetsproblem bör denna process göras på din egen dator.

2. På grund av licensproblem kommer jag inte att tillhandahålla länkar för att ladda ner klientprogramvaran. Att hitta dem för din klient är dock ganska enkelt. AnyConnect är en app i App Stores på större mobilplattformar (iOS, Android, BlackBerry OS (v10 eller högre), UWP) och en enkel sökning kommer att ge dig dem. För PC-plattformar kommer en del Googling att ge dig lämplig programvara.

Programvaruinstallation på serversidan

Vultrs CentOS 7-maskiner är konfigurerade med EPEL-förvaret. Vi installerar bara ocservmed yum:

yum update
yum install ocserv

Vi behöver ett servercertifikat för att saker ska fungera. Om du har ett domännamn är Let's Encrypt det enklaste valet.

yum install certbot
certbot certonly

Välj "snurra upp en temporär webbserver" för att autentisera med ACME CA. Om du inte har en domän kommer ett självsignerat certifikat att utfärdas senare.

Certifikatgenerering och konfiguration

Den traditionella PKI:n är ganska obekväm att använda, så vi kommer att använda easyrsaverktyget från OpenVPN-projektet. Installera git på din fungerande maskin och klona förvaret:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Vi kommer att bygga CA och utfärda certifikat. Gör följande och skriv PEM-lösenordsfrasen du ställt in någonstans:

./easyrsa init-pki
./easyrsa build-ca

Håll pki/private/ca.keynågonstans säker. Läckage som kommer att göra hela din infrastruktur värdelös.

Om du väljer att använda ett självsignerat servercertifikat gör du följande:

./easyrsa gen-req server

Och ange din servers IP-adress som det vanliga namnet.

./easyrsa sign-req server server

Detta kommer att signera ett certifikat för servern. Överför pki/issued/server.crtoch pki/ca.crttill /etc/ssl/certsoch pki/private/server.keytill /etc/ssl/privatepå din server.

Därefter kommer vi att skapa kundcertifikat. Gör följande:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Välj ett namn på klienten och fyll i det i det gemensamma namnfältet. Kom ihåg lösenfrasen!

Därefter kommer vi att exportera certifikatet i pkcs12-format för användning på mobila plattformar. Do:

./easyrsa export-p12 client_01

Välj ett exportlösenord som du kommer att bli ombedd att ange när du importerar certifikatet till telefonen. Överför pki/private/client_01.p12till din telefon och importera den.

Konfigurera servern

Vi fyller i certifikatinformationen.

vim /etc/ocserv/ocserv.conf

Leta upp server-certsektionen och fyll i följande:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Observera att om du använder ett självsignerat certifikat, kom ihåg att ta bort lösenfrasen först openssl rsa -in server.key -out server-new.keyså att du ocservkan använda den privata nyckeln.

Hitta authsektionen. Aktivera den här raden:

auth = "certificate"

Och kommentera alla andra authrader.

Avkommentera denna rad:

cert-user-oid = 2.5.4.3

Leta upp ipv6-networkoch fyll i din servers ipv6-block. Detta är blocket som servern kommer att ge leasing från.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Ställ in DNS-servrar.

dns = 8.8.8.8
dns = 8.8.4.4

Aktivera kompatibilitet med Cisco-klienter.

cisco-client-compat = true

Öppna portarna du ställer in tcp-portoch udp-portaktivera maskerad för både ipv4 och ipv6 i brandväggen.

Starta servern.

systemctl enable ocserv
systemctl start ocserv

Testtid!

Servern har konfigurerats. Skapa en anslutning i din klient och anslut. Om något går fel, använd det här kommandot för att felsöka:

journalctl -fu ocserv

Dessutom bör IPv6 fungera på klientsidan om din klientprogramvara stöder ipv6 även om din klients nätverk inte ger dig en adress. Gå till denna sida för att testa.

Redo! Njut av din nya AnyConnect-kompatibla VPN-server!