AnyConnect ist eine von Cisco entwickelte RAS-Lösung. AnyConnect ist bekannt für seine Portabilität und Stabilität, insbesondere für seine DTLS-Fähigkeit, und wird von vielen Unternehmen verwendet. Wir werden eine Open-Source-Version verwenden ocserv, die mit dem Protokoll kompatibel ist.
Wir werden auch die Zertifikatsüberprüfung bereitstellen. Der Server identifiziert die Clients, indem er überprüft, ob das Clientzertifikat von der konfigurierten Zertifizierungsstelle ausgestellt wurde. Dies vereinfacht die Konfiguration auf Clients erheblich, da nur das Zertifikat auf dem Client importiert werden muss (meistens eine pkcs12-Datei ( .pfxoder .p12)) und keine Kennwörter erforderlich sind. Dies ist auch sicherer, da keine Passwörter im Internet übertragen werden.
Lasst uns beginnen.
Anmerkungen:
Obwohl es möglich (und recht bequem) ist, alles auf dem Server zu erledigen, besteht der Bereitstellungsprozess aus der Generierung privater Schlüssel, die zum Signieren verwendet werden. Aus Sicherheitsgründen sollte dieser Prozess auf Ihrem eigenen Computer ausgeführt werden.
Aufgrund von Lizenzproblemen werde ich keine Links zum Herunterladen der Client-Software bereitstellen. Es ist jedoch ziemlich einfach, sie für Ihren Kunden zu finden. AnyConnect ist eine App in den App Stores auf den wichtigsten mobilen Plattformen (iOS, Android, BlackBerry OS (Version 10 oder höher), UWP). Eine einfache Suche bringt sie zu Ihnen. Für PC-Plattformen wird Ihnen Googling die geeignete Software präsentieren.
Die CentOS 7-Computer von Vultr werden mit dem EPEL-Repository konfiguriert. Wir installieren nur ocservmit yum:
yum update
yum install ocserv
Wir benötigen ein Serverzertifikat, damit die Dinge funktionieren. Wenn Sie einen Domainnamen haben, ist Let's Encrypt die einfachste Wahl.
yum install certbot
certbot certonly
Wählen Sie "Einen temporären Webserver hochfahren", um sich bei ACME CA zu authentifizieren. Wenn Sie keine Domain haben, wird später ein selbstsigniertes Zertifikat ausgestellt.
Die Verwendung der herkömmlichen PKI ist recht unpraktisch, daher verwenden wir das easyrsaDienstprogramm aus dem OpenVPN-Projekt. Installieren Sie git auf Ihrem Arbeitscomputer und klonen Sie das Repository:
git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3
Wir werden die Zertifizierungsstelle erstellen und Zertifikate ausstellen. Gehen Sie wie folgt vor und schreiben Sie die PEM-Passphrase, die Sie irgendwo festgelegt haben:
./easyrsa init-pki
./easyrsa build-ca
An einem pki/private/ca.keysicheren Ort aufbewahren. Undichtigkeiten machen Ihre gesamte Infrastruktur unbrauchbar.
Wenn Sie ein selbstsigniertes Serverzertifikat verwenden möchten, gehen Sie wie folgt vor:
./easyrsa gen-req server
Geben Sie die IP-Adresse Ihres Servers als allgemeinen Namen ein.
./easyrsa sign-req server server
Dadurch wird ein Zertifikat für den Server signiert. Übertragen pki/issued/server.crtund pki/ca.crtzu /etc/ssl/certsund pki/private/server.keyzu /etc/ssl/privateauf dem Server.
Als nächstes erstellen wir Client-Zertifikate. Mach Folgendes:
./easyrsa gen-req client_01
./easyrsa sign-req client client_01
Wählen Sie einen Namen des Kunden und füllen Sie ihn in das Feld für den allgemeinen Namen aus. Denken Sie an die Passphrase!
Als nächstes exportieren wir das Zertifikat im pkcs12-Format zur Verwendung auf mobilen Plattformen. Machen:
./easyrsa export-p12 client_01
Wählen Sie ein Exportkennwort, das Sie beim Importieren des Zertifikats auf dem Telefon eingeben müssen. Übertragen Sie pki/private/client_01.p12auf Ihr Telefon und importieren Sie es.
Wir werden die Zertifikatsinformationen ausfüllen.
vim /etc/ocserv/ocserv.conf
Suchen Sie den server-certAbschnitt und geben Sie Folgendes ein:
# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem
# If you use self-signed server certificate
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key
ca-cert = /etc/ssl/certs/ca.crt
Beachten Sie, dass Sie bei Verwendung eines selbstsignierten Zertifikats zuerst die Passphrase entfernen müssen openssl rsa -in server.key -out server-new.key, ocservdamit der private Schlüssel verwendet werden kann.
authAbschnitt suchen . Aktivieren Sie diese Zeile:
auth = "certificate"
Und alle anderen authZeilen auskommentieren.
Kommentieren Sie diese Zeile aus:
cert-user-oid = 2.5.4.3
Suchen ipv6-networkSie den IPv6-Block Ihres Servers und füllen Sie ihn aus. Dies ist der Block, von dem der Server Leases vergibt.
ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124
Legen Sie DNS-Server fest.
dns = 8.8.8.8
dns = 8.8.4.4
Aktivieren Sie die Kompatibilität mit Cisco-Clients.
cisco-client-compat = true
Öffnen Sie die Ports , die Sie setzen in tcp-portund udp-portund ermöglichen Maskerade für IPv4- und IPv6 in firewalld.
Starten Sie den Server.
systemctl enable ocserv
systemctl start ocserv
Der Server wurde erfolgreich konfiguriert. Erstellen Sie eine Verbindung in Ihrem Client und stellen Sie eine Verbindung her. Wenn etwas schief geht, verwenden Sie diesen Befehl zum Debuggen:
journalctl -fu ocserv
Außerdem sollte IPv6 auf der Clientseite funktionieren, wenn Ihre Client-Software IPv6 unterstützt, auch wenn das Netzwerk Ihres Clients Ihnen keine Adresse zur Verfügung stellt. Gehen Sie zu dieser Seite , um zu testen.
Alles bereit! Viel Spaß mit Ihrem neuen AnyConnect-kompatiblen VPN-Server!
Ransomware-Angriffe nehmen zu, aber kann KI helfen, den neuesten Computervirus zu bekämpfen? Ist KI die Antwort? Lesen Sie hier, ob KI boone oder bane ist
ReactOS, ein quelloffenes und kostenloses Betriebssystem, ist hier mit der neuesten Version. Kann es den Anforderungen moderner Windows-Benutzer genügen und Microsoft zu Fall bringen? Lassen Sie uns mehr über dieses alte, aber neuere Betriebssystem erfahren.
Whatsapp hat endlich die Desktop-App für Mac- und Windows-Benutzer auf den Markt gebracht. Jetzt können Sie ganz einfach von Windows oder Mac auf WhatsApp zugreifen. Verfügbar für Windows 8+ und Mac OS 10.9+
Lesen Sie dies, um zu erfahren, wie Künstliche Intelligenz bei kleinen Unternehmen beliebt wird und wie sie die Wahrscheinlichkeit erhöht, sie wachsen zu lassen und ihren Konkurrenten einen Vorsprung zu verschaffen.
Vor kurzem hat Apple macOS Catalina 10.15.4 als Ergänzungsupdate veröffentlicht, um Probleme zu beheben, aber es scheint, dass das Update mehr Probleme verursacht, die zum Bricking von Mac-Computern führen. Lesen Sie diesen Artikel, um mehr zu erfahren
13 Tools zur kommerziellen Datenextraktion von Big Data
Unser Computer speichert alle Daten in einer organisierten Weise, die als Journaling-Dateisystem bekannt ist. Es ist eine effiziente Methode, die es dem Computer ermöglicht, Dateien zu suchen und anzuzeigen, sobald Sie auf die Suche klicken.https://wethegeek.com/?p=94116&preview=true
Da sich die Wissenschaft schnell weiterentwickelt und einen Großteil unserer Bemühungen übernimmt, steigt auch das Risiko, uns einer unerklärlichen Singularität auszusetzen. Lesen Sie, was Singularität für uns bedeuten könnte.
Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1
KI im Gesundheitswesen hat in den letzten Jahrzehnten große Fortschritte gemacht. Somit wächst die Zukunft der KI im Gesundheitswesen immer noch von Tag zu Tag.
