Розгортання сумісного з AnyConnect VPN-сервера з перевіркою сертифікатів на CentOS 7

AnyConnect — це рішення віддаленого доступу, розроблене Cisco. AnyConnect, добре відомий своєю портативності та стабільності, особливо можливостями DTLS, використовується багатьма компаніями. Ми будемо використовувати версію з відкритим вихідним кодом ocserv, яка сумісна з протоколом.

Ми також збираємося запровадити перевірку сертифікатів. Сервер ідентифікуватиме клієнтів, перевіряючи, чи сертифікат клієнта виданий налаштованим ЦС. Це значно спрощує конфігурацію на клієнтах, оскільки нам знадобиться лише імпортувати сертифікат на клієнта (у більшості випадків файл pkcs12 ( .pfxабо .p12)), і паролі не потрібні. Це також більш безпечно, оскільки паролі не переміщуються по Інтернету.

Давайте розпочнемо.

Передумови

• Нещодавно створений сервер CentOS 7 з увімкненим IPv6
• Робочий комп’ютер (може бути самим сервером; але не підтримується (див. нижче)) див. примітку 1
• Деякі клієнти з встановленим клієнтським програмним забезпеченням AnyConnect (або OpenConnect) див. примітку 2

Примітки:

1. Хоча можна (і досить зручно) робити все на сервері, процес розгортання складається з генерування приватних ключів, які використовуються для підписання, і з міркувань безпеки цей процес слід виконувати на вашому власному комп’ютері.

2. Через проблеми з ліцензуванням я не надаватиму посилання для завантаження клієнтського програмного забезпечення. Хоча знайти їх для свого клієнта досить легко. AnyConnect — це програма в App Store на основних мобільних платформах (iOS, Android, BlackBerry OS (v10 або вище), UWP) відповідно, і простий пошук приведе їх до вас. Для платформ ПК деякі пошукові системи Google запропонують вам відповідне програмне забезпечення.

Установка програмного забезпечення на стороні сервера

Машини CentOS 7 від Vultr налаштовані за допомогою репозиторію EPEL. Ми просто встановлюємо за ocservдопомогою yum:

yum update
yum install ocserv

Для роботи нам знадобиться сертифікат сервера. Якщо у вас є доменне ім’я, найпростішим вибором буде Let’s Encrypt.

yum install certbot
certbot certonly

Виберіть «розкрутити тимчасовий веб-сервер» для автентифікації за допомогою ACME CA. Якщо у вас немає домену, самопідписаний сертифікат буде видано пізніше.

Генерація та налаштування сертифіката

Традиційний PKI досить незручний у використанні, тому ми будемо використовувати easyrsaутиліту з проекту OpenVPN. Встановіть git на вашу робочу машину та клонуйте репозиторій:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Ми побудуємо ЦС і видамо сертифікати. Виконайте наступне та напишіть парольну фразу PEM, яку ви встановили десь:

./easyrsa init-pki
./easyrsa build-ca

Зберігайте в pki/private/ca.keyбезпечному місці. Витік, який зробить всю вашу інфраструктуру непотрібною.

Якщо ви вирішили використовувати самопідписаний сертифікат сервера, виконайте такі дії:

./easyrsa gen-req server

І введіть IP-адресу вашого сервера як загальну назву.

./easyrsa sign-req server server

Це підпише сертифікат для сервера. Перенесіть pki/issued/server.crtі pki/ca.crtдо /etc/ssl/certsі pki/private/server.keyдо /etc/ssl/privateна вашому сервері.

Далі ми створимо клієнтські сертифікати. Виконайте наступне:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Виберіть ім’я клієнта та заповніть його в поле загального імені. Запам'ятай парольну фразу!

Далі ми збираємося експортувати сертифікат у форматі pkcs12 для використання на мобільних платформах. Зробіть:

./easyrsa export-p12 client_01

Виберіть пароль експорту, який вам буде запропоновано ввести під час імпортування сертифіката на телефон. Перенесіть pki/private/client_01.p12на свій телефон та імпортуйте його.

Налаштування сервера

Ми заповнимо інформацію про сертифікат.

vim /etc/ocserv/ocserv.conf

Знайдіть server-certрозділ і заповніть наступне:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Зауважте, що якщо ви використовуєте самопідписаний сертифікат, не забудьте спочатку видалити парольну фразу, openssl rsa -in server.key -out server-new.keyщоб вона ocservмогла використовувати закритий ключ.

Знайдіть authрозділ. Увімкніть цей рядок:

auth = "certificate"

І прокоментуйте всі інші authрядки.

Розкоментуйте цей рядок:

cert-user-oid = 2.5.4.3

Знайдіть ipv6-networkі заповніть блок ipv6 вашого сервера. Це блок, з якого сервер буде давати в оренду.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Налаштуйте DNS-сервери.

dns = 8.8.8.8
dns = 8.8.4.4

Увімкнути сумісність із клієнтами Cisco.

cisco-client-compat = true

Відкрийте порти, встановлені в tcp-portі udp-portй включите маскарад як для IPv4 і IPv6 в firewalld.

Запустіть сервер.

systemctl enable ocserv
systemctl start ocserv

Час випробувань!

Сервер успішно налаштовано. Створіть підключення в клієнті та підключіться. Якщо щось піде не так, скористайтеся цією командою для налагодження:

journalctl -fu ocserv

Крім того, IPv6 повинен працювати на стороні клієнта, якщо ваше клієнтське програмне забезпечення підтримує ipv6, навіть якщо мережа вашого клієнта не надає вам адресу. Перейдіть на цей сайт, щоб перевірити.

Все готово! Насолоджуйтесь своїм новим VPN-сервером, сумісним з AnyConnect!