Налаштування OpenConnect VPN Server для Cisco AnyConnect на Ubuntu 14.04 x64

Сервер OpenConnect, також відомий як ocserv, — це сервер VPN, який спілкується через SSL. За проектом його мета — стати безпечним, легким і швидким VPN-сервером. Сервер OpenConnect використовує протокол OpenConnect SSL VPN. На момент написання статті він також мав експериментальну сумісність із клієнтами, які використовують протокол AnyConnect SSL VPN.

Ця стаття покаже вам, як встановити та налаштувати ocserv на Ubuntu 14.04 x64.

Встановлення ocserv

Оскільки Ubuntu 14.04 не постачається з ocserv, нам доведеться завантажити вихідний код і скомпілювати його. Остання стабільна версія ocserv — 0.9.2.

Завантажте ocserv з офіційного сайту.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Далі встановіть компіляційні залежності.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Скомпілювати та встановити ocserv.

./configure
make
make install

Налаштування ocserv

Зразок файлу конфігурації розміщено в каталозі ocser-0.9.2/doc. Ми будемо використовувати цей файл як шаблон. Спочатку ми повинні створити власний сертифікат CA та сертифікат сервера.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Ми створюємо файл шаблону ЦС ( ca.tmpl) із вмістом, подібним до наведеного нижче. Ви можете встановити власні «cn» і «organization».

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Потім згенеруйте ключ CA та сертифікат CA.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Далі створіть файл шаблону сертифіката локального сервера ( server.tmpl) з наведеним нижче вмістом. Будь ласка, зверніть увагу на поле «cn», воно повинно відповідати імені DNS або IP-адреси вашого сервера.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Потім згенеруйте ключ сервера та сертифікат.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Скопіюйте ключ, сертифікат і файл конфігурації до каталогу конфігурації ocserv.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Відредагуйте файл конфігурації під /etc/ocserv. Розкоментуйте або змініть поля, описані нижче.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Створіть користувача, який буде використовуватися для входу в ocserv.

ocpasswd -c /etc/ocserv/ocpasswd username

Увімкніть NAT.

iptables -t nat -A POSTROUTING -j MASQUERADE

Увімкнути пересилання IPv4. Відредагуйте файл /etc/sysctl.conf.

net.ipv4.ip_forward=1

Застосуйте цю модифікацію.

sysctl -p /etc/sysctl.conf

Запустіть ocserv та підключіться за допомогою Cisco AnyConnect

Спочатку запустіть ocserv.

ocserv -c /etc/ocserv/config

Потім встановіть Cisco AnyConnect на будь-який із ваших пристроїв, наприклад iPhone, iPad або пристрій Android. Оскільки ми використовували самопідписаний ключ сервера та сертифікат, ми повинні зняти прапорець із параметра, який запобігає небезпечним серверам. Ця опція знаходиться в налаштуваннях AnyConnect. На цьому етапі ми можемо налаштувати нове з’єднання за допомогою імені домену або IP-адреси нашого ocserv і створеного нами імені користувача/пароля.

Підключайтеся та насолоджуйтесь!