نشر خادم VPN متوافق مع AnyConnect مع التحقق من الشهادة على CentOS 7

برنامج AnyConnect هو حل وصول بعيد تم تطويره بواسطة Cisco. تشتهر العديد من الشركات بقدرتها على النقل والاستقرار ، خاصةً قدراتها على DTLS. سنستخدم إصدارًا مفتوح المصدر ocservمتوافق مع البروتوكول.

سنقوم أيضًا بنشر التحقق من الشهادة. سيحدد الخادم العملاء بالتحقق من أنه إذا تم إصدار شهادة العميل من قبل المرجع المصدق المكون. يؤدي ذلك إلى تبسيط التكوين بشكل كبير على العملاء حيث سنحتاج فقط إلى استيراد الشهادة على العميل (في معظم الأحيان ملف pkcs12 ( .pfxأو .p12)) ولا توجد كلمات مرور مطلوبة. يعد هذا أيضًا أكثر أمانًا نظرًا لعدم وجود كلمات مرور تنتقل عبر الإنترنت.

لنبدأ.

المتطلبات الأساسية

  • خادم CentOS 7 حديث الإنشاء مع تمكين IPv6
  • جهاز كمبيوتر يعمل (يمكن أن يكون الخادم نفسه ؛ تم إيقافه بالرغم من ذلك (انظر أدناه)) انظر الملاحظة 1
  • بعض العملاء الذين تم تثبيت برنامج عميل AnyConnect (أو OpenConnect) راجع الملاحظة 2

ملاحظات:

  1. على الرغم من أنه من الممكن (والملائم إلى حد ما) القيام بكل شيء على الخادم ، فإن عملية النشر تتكون من توليد مفاتيح خاصة تستخدم للتوقيع وبسبب مخاوف أمنية ، يجب أن تتم هذه العملية على جهاز الكمبيوتر الخاص بك.

  2. نظرًا لمشكلات الترخيص ، لن أقوم بتوفير روابط لتنزيل برنامج العميل. يعد العثور عليها لعميلك أمرًا سهلاً للغاية. AnyConnect هو تطبيق موجود في متاجر التطبيقات على منصات الهواتف المحمولة الرئيسية (iOS و Android و BlackBerry OS (الإصدار 10 أو أعلى) و UWP) على التوالي وسيقدمها البحث البسيط إليك. بالنسبة لمنصات الكمبيوتر ، ستقدم لك بعض Googling البرنامج المناسب.

تثبيت البرامج من جانب الخادم

يتم تكوين جهاز CentOS 7 من فولتر مع مستودع EPEL. نقوم فقط بالتثبيت ocservمع yum:

yum update
yum install ocserv

سنحتاج إلى شهادة خادم لكي تعمل الأشياء. إذا كان لديك اسم مجال ، فإن Let's Encrypt سيكون الخيار الأسهل.

yum install certbot
certbot certonly

اختر "تدوير خادم ويب مؤقت" للمصادقة مع ACME CA. إذا لم يكن لديك نطاق ، فسيتم إصدار شهادة موقعة ذاتيًا في وقت لاحق.

تكوين وتكوين الشهادة

يعتبر PKI التقليدي غير مريح إلى حد ما للاستخدام ، لذلك سنستخدم easyrsaالأداة المساعدة من مشروع OpenVPN. تثبيت git على جهاز العمل الخاص بك واستنساخ المستودع:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

سنقوم ببناء المرجع المصدق وإصدار الشهادات. قم بما يلي واكتب عبارة مرور PEM التي قمت بتعيينها في مكان ما:

./easyrsa init-pki
./easyrsa build-ca

احتفظ pki/private/ca.keyبمكان آمن. تسرب من شأنه أن يجعل البنية التحتية بأكملها عديمة الفائدة.

إذا اخترت استخدام شهادة خادم موقعة ذاتيًا ، فقم بما يلي:

./easyrsa gen-req server

وأدخل عنوان IP لخادمك كاسم شائع.

./easyrsa sign-req server server

سيؤدي هذا إلى توقيع شهادة للخادم. نقل pki/issued/server.crtو pki/ca.crtل /etc/ssl/certsو pki/private/server.keyل /etc/ssl/privateعلى الخادم الخاص بك.

بعد ذلك سننشئ شهادات العميل. قم بما يلي:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

اختر اسم العميل واملأه في حقل الاسم الشائع. تذكر عبارة المرور!

بعد ذلك ، سنقوم بتصدير الشهادة بتنسيق pkcs12 للاستخدام على الأنظمة الأساسية للجوّال. فعل:

./easyrsa export-p12 client_01

اختر كلمة مرور للتصدير ستتم مطالبتك بإدخالها عند استيراد الشهادة على الهاتف. نقل pki/private/client_01.p12إلى هاتفك واستيراده.

تكوين الخادم

سنقوم بملء معلومات الشهادة.

vim /etc/ocserv/ocserv.conf

حدد مكان server-certالقسم واملأ ما يلي:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

لاحظ أنه إذا كنت تستخدم شهادة موقعة ذاتيًا ، فتذكر إزالة عبارة المرور أولاً openssl rsa -in server.key -out server-new.keyحتى ocservتتمكن من استخدام المفتاح الخاص.

حدد authالقسم. تمكين هذا الخط:

auth = "certificate"

وعلق على جميع authالأسطر الأخرى .

uncomment هذا الخط:

cert-user-oid = 2.5.4.3

حدد موقع ipv6-networkوقم بتعبئة كتلة ipv6 لخادمك. هذه هي الكتلة التي سيعطي الخادم عقود إيجار منها.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

قم بتعيين خوادم DNS.

dns = 8.8.8.8
dns = 8.8.4.4

تمكين التوافق مع عملاء Cisco.

cisco-client-compat = true

فتح المنافذ تقوم بتعيينها في tcp-portو udp-portوتمكين التنكر لكل من IPv4 و IPv6 في firewalld.

قم بتشغيل الخادم.

systemctl enable ocserv
systemctl start ocserv

وقت الاختبار!

تم تكوين الخادم بنجاح. إنشاء اتصال في العميل الخاص بك والاتصال. إذا سارت الأمور بشكل خاطئ ، استخدم هذا الأمر لتصحيح:

journalctl -fu ocserv

أيضًا ، يجب أن يعمل IPv6 على جانب العميل إذا كان برنامج العميل الخاص بك يدعم IPv6 حتى إذا لم توفر لك شبكة العميل عنوانًا. انتقل إلى هذا الموقع للاختبار.

كل شيء جاهز! استمتع بخادم VPN الجديد المتوافق مع AnyConnect!

اترك تعليقاً

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

وظائف طبقات معمارية مرجعية للبيانات الضخمة

وظائف طبقات معمارية مرجعية للبيانات الضخمة

اقرأ المدونة لمعرفة الطبقات المختلفة في بنية البيانات الضخمة ووظائفها بأبسط طريقة.

6 أشياء شديدة الجنون حول نينتندو سويتش

6 أشياء شديدة الجنون حول نينتندو سويتش

يعرف الكثير منكم أن Switch سيصدر في مارس 2017 وميزاته الجديدة. بالنسبة لأولئك الذين لا يعرفون ، قمنا بإعداد قائمة بالميزات التي تجعل "التبديل" "أداة لا غنى عنها".

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

هل تنتظر عمالقة التكنولوجيا للوفاء بوعودهم؟ تحقق من ما تبقى دون تسليم.

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

اقرأ هذا لمعرفة مدى انتشار الذكاء الاصطناعي بين الشركات الصغيرة وكيف أنه يزيد من احتمالات نموها ومنح منافسيها القدرة على التفوق.

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

مع تطور العلم بمعدل سريع ، واستلام الكثير من جهودنا ، تزداد أيضًا مخاطر تعريض أنفسنا إلى تفرد غير قابل للتفسير. اقرأ ، ماذا يمكن أن يعني التفرد بالنسبة لنا.

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

لقد أصبح حل CAPTCHA صعبًا جدًا على المستخدمين في السنوات القليلة الماضية. هل ستكون قادرة على أن تظل فعالة في اكتشاف البريد العشوائي والروبوتات في المستقبل القريب؟

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

ما هو التطبيب عن بعد والرعاية الصحية عن بعد وأثره على الأجيال القادمة؟ هل هو مكان جيد أم لا في حالة الوباء؟ اقرأ المدونة لتجد طريقة عرض!

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

ربما سمعت أن المتسللين يكسبون الكثير من المال ، لكن هل تساءلت يومًا كيف يجنون هذا النوع من المال؟ دعنا نناقش.

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

أصدرت Apple مؤخرًا macOS Catalina 10.15.4 تحديثًا تكميليًا لإصلاح المشكلات ولكن يبدو أن التحديث يتسبب في المزيد من المشكلات التي تؤدي إلى إنشاء أجهزة macOS. قراءة هذه المادة لمعرفة المزيد