AnyConnect ist eine von Cisco entwickelte RAS-Lösung. AnyConnect ist bekannt für seine Portabilität und Stabilität, insbesondere für seine DTLS-Fähigkeit, und wird von vielen Unternehmen verwendet. Wir werden eine Open-Source-Version verwenden ocserv, die mit dem Protokoll kompatibel ist.
Wir werden auch die Zertifikatsüberprüfung bereitstellen. Der Server identifiziert die Clients, indem er überprüft, ob das Clientzertifikat von der konfigurierten Zertifizierungsstelle ausgestellt wurde. Dies vereinfacht die Konfiguration auf Clients erheblich, da nur das Zertifikat auf dem Client importiert werden muss (meistens eine pkcs12-Datei ( .pfxoder .p12)) und keine Kennwörter erforderlich sind. Dies ist auch sicherer, da keine Passwörter im Internet übertragen werden.
Lasst uns beginnen.
Anmerkungen:
Obwohl es möglich (und recht bequem) ist, alles auf dem Server zu erledigen, besteht der Bereitstellungsprozess aus der Generierung privater Schlüssel, die zum Signieren verwendet werden. Aus Sicherheitsgründen sollte dieser Prozess auf Ihrem eigenen Computer ausgeführt werden.
Aufgrund von Lizenzproblemen werde ich keine Links zum Herunterladen der Client-Software bereitstellen. Es ist jedoch ziemlich einfach, sie für Ihren Kunden zu finden. AnyConnect ist eine App in den App Stores auf den wichtigsten mobilen Plattformen (iOS, Android, BlackBerry OS (Version 10 oder höher), UWP). Eine einfache Suche bringt sie zu Ihnen. Für PC-Plattformen wird Ihnen Googling die geeignete Software präsentieren.
Die CentOS 7-Computer von Vultr werden mit dem EPEL-Repository konfiguriert. Wir installieren nur ocservmit yum:
yum update
yum install ocserv
Wir benötigen ein Serverzertifikat, damit die Dinge funktionieren. Wenn Sie einen Domainnamen haben, ist Let's Encrypt die einfachste Wahl.
yum install certbot
certbot certonly
Wählen Sie "Einen temporären Webserver hochfahren", um sich bei ACME CA zu authentifizieren. Wenn Sie keine Domain haben, wird später ein selbstsigniertes Zertifikat ausgestellt.
Die Verwendung der herkömmlichen PKI ist recht unpraktisch, daher verwenden wir das easyrsaDienstprogramm aus dem OpenVPN-Projekt. Installieren Sie git auf Ihrem Arbeitscomputer und klonen Sie das Repository:
git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3
Wir werden die Zertifizierungsstelle erstellen und Zertifikate ausstellen. Gehen Sie wie folgt vor und schreiben Sie die PEM-Passphrase, die Sie irgendwo festgelegt haben:
./easyrsa init-pki
./easyrsa build-ca
An einem pki/private/ca.keysicheren Ort aufbewahren. Undichtigkeiten machen Ihre gesamte Infrastruktur unbrauchbar.
Wenn Sie ein selbstsigniertes Serverzertifikat verwenden möchten, gehen Sie wie folgt vor:
./easyrsa gen-req server
Geben Sie die IP-Adresse Ihres Servers als allgemeinen Namen ein.
./easyrsa sign-req server server
Dadurch wird ein Zertifikat für den Server signiert. Übertragen pki/issued/server.crtund pki/ca.crtzu /etc/ssl/certsund pki/private/server.keyzu /etc/ssl/privateauf dem Server.
Als nächstes erstellen wir Client-Zertifikate. Mach Folgendes:
./easyrsa gen-req client_01
./easyrsa sign-req client client_01
Wählen Sie einen Namen des Kunden und füllen Sie ihn in das Feld für den allgemeinen Namen aus. Denken Sie an die Passphrase!
Als nächstes exportieren wir das Zertifikat im pkcs12-Format zur Verwendung auf mobilen Plattformen. Machen:
./easyrsa export-p12 client_01
Wählen Sie ein Exportkennwort, das Sie beim Importieren des Zertifikats auf dem Telefon eingeben müssen. Übertragen Sie pki/private/client_01.p12auf Ihr Telefon und importieren Sie es.
Wir werden die Zertifikatsinformationen ausfüllen.
vim /etc/ocserv/ocserv.conf
Suchen Sie den server-certAbschnitt und geben Sie Folgendes ein:
# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem
# If you use self-signed server certificate
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key
ca-cert = /etc/ssl/certs/ca.crt
Beachten Sie, dass Sie bei Verwendung eines selbstsignierten Zertifikats zuerst die Passphrase entfernen müssen openssl rsa -in server.key -out server-new.key, ocservdamit der private Schlüssel verwendet werden kann.
authAbschnitt suchen . Aktivieren Sie diese Zeile:
auth = "certificate"
Und alle anderen authZeilen auskommentieren.
Kommentieren Sie diese Zeile aus:
cert-user-oid = 2.5.4.3
Suchen ipv6-networkSie den IPv6-Block Ihres Servers und füllen Sie ihn aus. Dies ist der Block, von dem der Server Leases vergibt.
ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124
Legen Sie DNS-Server fest.
dns = 8.8.8.8
dns = 8.8.4.4
Aktivieren Sie die Kompatibilität mit Cisco-Clients.
cisco-client-compat = true
Öffnen Sie die Ports , die Sie setzen in tcp-portund udp-portund ermöglichen Maskerade für IPv4- und IPv6 in firewalld.
Starten Sie den Server.
systemctl enable ocserv
systemctl start ocserv
Der Server wurde erfolgreich konfiguriert. Erstellen Sie eine Verbindung in Ihrem Client und stellen Sie eine Verbindung her. Wenn etwas schief geht, verwenden Sie diesen Befehl zum Debuggen:
journalctl -fu ocserv
Außerdem sollte IPv6 auf der Clientseite funktionieren, wenn Ihre Client-Software IPv6 unterstützt, auch wenn das Netzwerk Ihres Clients Ihnen keine Adresse zur Verfügung stellt. Gehen Sie zu dieser Seite , um zu testen.
Alles bereit! Viel Spaß mit Ihrem neuen AnyConnect-kompatiblen VPN-Server!
Verwenden Sie ein anderes System? MODX Revolution ist ein schnelles, flexibles, skalierbares, kostenloses und Open-Source-Content-Management-System (CMS) für Unternehmen, das i
Vultr bietet Ihnen eine hervorragende Konnektivität für private Netzwerke für Server, die am selben Standort ausgeführt werden. Aber manchmal möchten Sie zwei Server in verschiedenen Ländern
Verwenden Sie ein anderes System? Einführung CyberPanel ist eines der ersten Control Panels auf dem Markt, das sowohl Open Source als auch OpenLiteSpeed verwendet. Was ist das?
Verwenden Sie ein anderes System? ESpeak kann TTS-Audiodateien (Text-to-Speech) generieren. Diese können aus vielen Gründen nützlich sein, z. B. um Ihr eigenes Turin zu erstellen
Verwenden Sie ein anderes System? Thelia ist ein Open-Source-Tool zum Erstellen von E-Business-Websites und zum Verwalten von Online-Inhalten, die in PHP geschrieben wurden. Thelia Quellcode i
Cockpit ist ein kostenloses Open Source-Programm für die Linux-Serververwaltung. Es ist sehr leicht und hat eine schöne, einfach zu bedienende Weboberfläche. Es erlaubt System
Gollum ist die Git-basierte Wiki-Software, die als Backend des GitHub-Wikis verwendet wird. Durch die Bereitstellung von Gollum können Sie ein GitHub-ähnliches Wiki-System auf Ihnen hosten
BBR (Bottleneck Bandwidth and RTT) ist ein neuer Algorithmus zur Überlastungskontrolle, der von Google zum Linux-Kernel-TCP-Stack hinzugefügt wird. Mit BBR an Ort und Stelle,
YOURLS (Your Own URL Shortener) ist eine Open-Source-Anwendung zur URL-Verkürzung und Datenanalyse. In diesem Artikel werden wir den Installationsprozess behandeln
Verwenden Sie ein anderes System? RTMP eignet sich hervorragend für die Bereitstellung von Live-Inhalten. Wenn RTMP mit FFmpeg gekoppelt ist, können Streams in verschiedene Qualitäten konvertiert werden. Vultr i
LimeSurvey ist ein kostenloses und Open-Source-Online-Umfragetool, das häufig zum Veröffentlichen von Online-Umfragen und zum Sammeln von Umfrage-Feedback verwendet wird. In diesem Artikel werde ich
Einführung Java ist eine beliebte Softwareplattform, mit der Sie Java-Anwendungen und -Applets in verschiedenen Hardwareumgebungen entwickeln und ausführen können. Es gibt
Verwenden Sie ein anderes System? Netdata ist ein aufstrebender Stern im Bereich der Echtzeitüberwachung von Systemmetriken. Im Vergleich zu anderen Tools der gleichen Art bietet Netdata:
In diesem Tutorial erfahren Sie, wie Sie einen Just Cause 2-Multiplayer-Server einrichten. Voraussetzungen Bitte stellen Sie sicher, dass das System vollständig aktualisiert ist, bevor Sie beginnen
Verwenden Sie ein anderes System? In diesem Tutorial werde ich erklären, wie ein Starbound-Server unter CentOS 7 eingerichtet wird. Voraussetzungen Sie müssen dieses Spiel besitzen
ZNC ist ein kostenloser Open-Source-IRC-Bouncer, der permanent mit einem Netzwerk verbunden bleibt, sodass Clients Nachrichten empfangen können, die gesendet werden, während sie offline sind. Thi
Django ist ein beliebtes Python-Framework zum Schreiben von Webanwendungen. Mit Django können Sie Anwendungen schneller erstellen, ohne das Rad neu zu erfinden. Wenn du willst
ionCube Loader ist eine PHP-Erweiterung, mit der ein Webserver PHP-Dateien ausführen kann, die mit ionCube Encoder codiert wurden und für deren Ausführung erforderlich sind
Einführung Installieren Sie in diesem Tutorial PufferPanel auf unserem Vultr VPS. PufferPanel ist ein Open Source-Bedienfeld, das Sie kostenlos verwalten können
Verwenden Sie ein anderes System? Einführung BoltWire ist ein kostenloses und leichtes Content-Management-System, das in PHP geschrieben wurde. Im Vergleich zu den meisten anderen Content Managern
Ransomware-Angriffe nehmen zu, aber kann KI helfen, den neuesten Computervirus zu bekämpfen? Ist KI die Antwort? Lesen Sie hier, ob KI boone oder bane ist
ReactOS, ein quelloffenes und kostenloses Betriebssystem, ist hier mit der neuesten Version. Kann es den Anforderungen moderner Windows-Benutzer genügen und Microsoft zu Fall bringen? Lassen Sie uns mehr über dieses alte, aber neuere Betriebssystem erfahren.
Whatsapp hat endlich die Desktop-App für Mac- und Windows-Benutzer auf den Markt gebracht. Jetzt können Sie ganz einfach von Windows oder Mac auf WhatsApp zugreifen. Verfügbar für Windows 8+ und Mac OS 10.9+
Lesen Sie dies, um zu erfahren, wie Künstliche Intelligenz bei kleinen Unternehmen beliebt wird und wie sie die Wahrscheinlichkeit erhöht, sie wachsen zu lassen und ihren Konkurrenten einen Vorsprung zu verschaffen.
Vor kurzem hat Apple macOS Catalina 10.15.4 als Ergänzungsupdate veröffentlicht, um Probleme zu beheben, aber es scheint, dass das Update mehr Probleme verursacht, die zum Bricking von Mac-Computern führen. Lesen Sie diesen Artikel, um mehr zu erfahren
13 Tools zur kommerziellen Datenextraktion von Big Data
Unser Computer speichert alle Daten in einer organisierten Weise, die als Journaling-Dateisystem bekannt ist. Es ist eine effiziente Methode, die es dem Computer ermöglicht, Dateien zu suchen und anzuzeigen, sobald Sie auf die Suche klicken.https://wethegeek.com/?p=94116&preview=true
Da sich die Wissenschaft schnell weiterentwickelt und einen Großteil unserer Bemühungen übernimmt, steigt auch das Risiko, uns einer unerklärlichen Singularität auszusetzen. Lesen Sie, was Singularität für uns bedeuten könnte.
Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1
KI im Gesundheitswesen hat in den letzten Jahrzehnten große Fortschritte gemacht. Somit wächst die Zukunft der KI im Gesundheitswesen immer noch von Tag zu Tag.
