Konfigurera OpenConnect VPN Server för Cisco AnyConnect på Ubuntu 14.04 x64

OpenConnect-server, även känd som ocserv, är en VPN-server som kommunicerar över SSL. Genom designen är dess mål att bli en säker, lätt och snabb VPN-server. OpenConnect-servern använder OpenConnect SSL VPN-protokoll. I skrivande stund har den också experimentell kompatibilitet med klienter som använder AnyConnect SSL VPN-protokoll.

Den här artikeln visar dig hur du installerar och ställer in ocserv på Ubuntu 14.04 x64.

Installerar ocserv

Eftersom Ubuntu 14.04 inte levereras med ocserv måste vi ladda ner källkoden och kompilera den. Den senaste stabila versionen av ocserv är 0.9.2.

Ladda ner ocserv från den officiella webbplatsen.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Installera sedan kompileringsberoendena.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Kompilera och installera ocserv.

./configure
make
make install

Konfigurerar ocserv

En exempelkonfigurationsfil placeras under katalogen ocser-0.9.2/doc. Vi kommer att använda den här filen som en mall. Till en början måste vi göra vårt eget CA-certifikat och servercertifikat.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Vi skapar en CA-mallfil ( ca.tmpl) med innehållet som liknar följande. Du kan ställa in din egen "cn" och "organisation".

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Generera sedan en CA-nyckel och CA-certifikat.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Skapa sedan en mallfil för lokal servercertifikat ( server.tmpl) med innehållet nedan. Var uppmärksam på "cn"-fältet, det måste matcha DNS-namnet eller IP-adressen för din server.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Skapa sedan servernyckeln och certifikatet.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Kopiera nyckeln, certifikatet och konfigurationsfilen till ocserv config-katalogen.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Redigera konfigurationsfilen under /etc/ocserv. Avkommentera eller ändra fälten som beskrivs nedan.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Skapa en användare som ska användas för att logga in på ocserv.

ocpasswd -c /etc/ocserv/ocpasswd username

Aktivera NAT.

iptables -t nat -A POSTROUTING -j MASQUERADE

Aktivera IPv4-vidarebefordran. Redigera filen /etc/sysctl.conf.

net.ipv4.ip_forward=1

Tillämpa denna ändring.

sysctl -p /etc/sysctl.conf

Starta ocserv och anslut med Cisco AnyConnect

Börja först ocserv.

ocserv -c /etc/ocserv/config

Installera sedan Cisco AnyConnect på någon av dina enheter, som iPhone, iPad eller en Android-enhet. Eftersom vi använde en självsignerad servernyckel och certifikat måste vi avmarkera alternativet som förhindrar osäkra servrar. Det här alternativet finns i inställningarna för AnyConnect. Vid det här laget kan vi skapa en ny anslutning med domännamnet eller IP-adressen för vår tjänst och användarnamnet/lösenordet som vi skapade.

Anslut och njut!