在 CentOS 7 上搭建 Cisco AnyConnect ocserv

@

目录1. 安装 ocserv (OpenConnect server)2.生成证书1) 创建工作文件夹2) 生成 CA 证书3) 生成本地服务器证书4) 生成客户端证书(不生成)3. 配置 ocserv4.创建用户5.配置系统设置1) 开启内核转发2) 配置iptables规则(不需要配置)3) 放行端口(必须配置)6.测试Tips:

1. 安装 ocserv (OpenConnect server)

ocserv 是一个 OpenConnect SSL VPN 协议服务端,0.3.0 版后兼容使用 AnyConnect SSL VPN 协议的终端。
官方主页:http://www.infradead.org/ocserv/

ocserv 已经在 epel 仓库中提供了,所以可以直接通过 yum 安装

yum install epel-release
yum install ocserv

2.生成证书

阅读官方文档

1) 创建工作文件夹

mkdir /opt/anyconnect
cd /opt/anyconnect/

2) 生成 CA 证书

certtool --generate-privkey --outfile ca-key.pem
cat >ca.tmpl <<EOF
cn = "VPN CA"
organization = "Big Corp"
serial = 1
expiration_days = 3650
ca
signing_key
cert_signing_key
crl_signing_key
EOF
certtool --generate-self-signed --load-privkey ca-key.pem 
--template ca.tmpl --outfile ca-cert.pem

把生成的 ca-cert.pem 放到 /etc/ocserv/

cp ca-key.pem /etc/ocserv/

3) 生成本地服务器证书

certtool --generate-privkey --outfile server-key.pem
cat >server.tmpl <<EOF
cn = "VPN server"
organization = "MyCompany"
serial = 2
expiration_days = 3650
encryption_key
signing_key
tls_www_server
EOF
certtool --generate-certificate --load-privkey server-key.pem 
--load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem 
--template server.tmpl --outfile server-cert.pem

把生成的 server-cert.pemserver-key.pem 放到 /etc/ocserv/

cp server-cert.pem server-key.pem /etc/ocserv/

4) 生成客户端证书(不生成)

3. 配置 ocserv

vim /etc/ocserv/ocserv.conf

# 使用密码登录注释掉
#auth = "pam"
auth = "plain[/etc/ocserv/ocpasswd]"

# 端口 TCP and UDP port number
tcp-port = 443
udp-port = 443

# 证书地址
server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

# 取消注释设置客户端IP段
ipv4-network = 192.168.111.0
ipv4-netmask = 255.255.255.0

# 取消注释设置客户端DNS
dns = 114.114.114.114


# 必须配置一个自己连接的VPN服务器IP段,允许访问下面的网段
route = 192.168.0.0/255.255.0.0

4.创建用户

#username为你要添加的用户名
ocpasswd -c /etc/ocserv/ocpasswd username

5.配置系统设置

1) 开启内核转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

sysctl -p

2) 配置iptables规则(不需要配置)

# 对指定的表 table 进行操作,添加一个规则,把192.168.111.0的流量指定到ens36出去
iptables -t nat -A POSTROUTING -s 192.168.111.0 -o ens36 -j MASQUERADE

iptables -A FORWARD -i vpns+ -j ACCEPT
iptables -A FORWARD -o vpns+ -j ACCEPT

# 保存路由表
iptables-save > /etc/sysconfig/iptables

3) 放行端口(必须配置)

firewall-cmd --permanent --add-port=443/tcp
firewall-cmd --permanent --add-port=443/udp
firewall-cmd --add-masquerade --permanent #必须配置,重要
firewall-cmd --reload

6.测试

现在我们可以开启服务器试试了

ocserv -c /etc/ocserv/ocserv.conf -f -d 10

如果没有问题,那么就可以配置成开机运行了

systemctl enable ocserv
systemctl start ocserv

Tips:

注意:一定要配置route=VPN自己的IP段,否则连接VPN后无法访问VPN服务器

#ocserv支持多种认证方式,这是自带的密码认证,使用ocpasswd创建密码文件
#ocserv还支持证书认证,可以通过Pluggable Authentication Modules (PAM)使用radius等认证方式
auth = "plain[passwd=/etc/ocserv/ocpasswd]"
#指定替代的登录方式,这里使用证书登录作为第二种登录方式
enable-auth = "certificate"
#证书路径
server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem
#ca路径
ca-cert = /etc/ocserv/ca-cert.pem
#从证书中提取用户名的方式,这里提取的是证书中的 CN 字段作为用户名
cert-user-oid = 2.5.4.3
#最大用户数量
max-clients = 16
#同一个用户最多同时登陆数
max-same-clients = 10
#tcp和udp端口
tcp-port = 4433
udp-port = 4433
#运行用户和组
run-as-user = ocserv
run-as-group = ocserv
#虚拟设备名称
device = vpns
#分配给VPN客户端的IP段
ipv4-network = 10.12.0.0
ipv4-netmask = 255.255.255.0
#DNS
dns = 8.8.8.8
dns = 8.8.4.4



#注释掉全部route的字段,这样表示所有流量都通过 VPN 发送
#route = 192.168.1.0/255.255.255.0
#route = 192.168.5.0/255.255.255.0

#只允许访问下面的网段
route = 192.168.0.0/255.255.0.0
route = 172.16.0.0/255.255.0.0
route = 120.79.158.102/255.255.255.255
route = 120.79.166.14/255.255.255.255
# 采用账号密码方式认证
auth = "plain[passwd=/etc/ocserv/ocpasswd]"

# 设置服务器监听端口,默认的是443端口,但是会和https冲突,
# 可以设置成任意不冲突的端口
tcp-port = 4433
udp-port = 4433

# 程序以哪个用户和组运行
run-as-user = ocserv
run-as-group = ocserv

# socket文件
socket-file = /var/run/ocserv.sock

# 默认证书配置
server-cert = /etc/pki/ocserv/public/server.crt
server-key = /etc/pki/ocserv/private/server.key

# 开启lz4压缩
compression = true

# 隔离工作,默认不动
isolate-workers = true

# 最大客户端数量,0表示无限数量
max-clients = 16

# 同一用户可以同时登陆的客户端数量
max-same-clients = 5

# 默认不动
rate-limit-ms = 100
# 服务器统计重置时间,不动
server-stats-reset-time = 604800

# 保持连接,每隔多少秒向客户端发送连接数据包,防止断线。
# IOS系统5分钟会关闭后台数据通讯,然后就会断线。
# 因此将keepalive和mobile-dpd设置成200秒
keepalive = 200
dpd = 90
mobile-dpd = 200

# udp端口无传输25秒后转成tcp端口
switch-to-tcp-timeout = 25

# 启用MTU转发以优化性能
try-mtu-discovery = true

# 空闲断开时间,如果想无限期连接,注释这两行
# idle-timeout=1200
# mobile-idle-timeout=2400

# 仅使用TLS1.2以上版本
cert-user-oid = 0.9.2342.19200300.100.1.1
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128:-VERS-TLS1.0:-VERS-TLS1.1"

# 认证超时时间
auth-timeout = 240
# 最小重新认证时间
min-reauth-time = 300
max-ban-score = 80
ban-reset-time = 1200
cookie-timeout = 324000
deny-roaming = false
rekey-time = 172800
rekey-method = ssl
use-occtl = true
pid-file = /var/run/ocserv.pid
device = vpns
predictable-ips = true

# 默认域名,修改为你的域名或ip地址,这个设置没有任何作用
default-domain = xxx.com:4433

# 配置自定义私有IP地址范围,注释默认的两行
#ipv4-network = 192.168.1.0
#ipv4-netmask = 255.255.255.0
ipv4-network = 10.70.25.0
ipv4-netmask = 255.255.255.0

# 以VPN隧道传输所有DNS查询
tunnel-all-dns = true

# 更改DNS服务器(国内服务器就填写国内dns)
dns = 8.8.8.8
dns = 1.1.1.1

# 允许思科客户端连接
cisco-client-compat = true

# 以下路由表不通过VPN隧道,直接本地网络连接
# 一定要添加自己服务器的ip地址,否则连上VPN后打不开自己的网站
no-route = x.x.x.x / 255.255.255.255
© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...