Implementación del servidor VPN compatible con AnyConnect con verificación de certificado en CentOS 7

• Prerrequisitos
• Instalación de software del lado del servidor
• Generación y configuración de certificados.
• Configurando el servidor
• ¡Tiempo de prueba!

AnyConnect es una solución de acceso remoto desarrollada por Cisco. Conocido por su portabilidad y estabilidad, especialmente por su capacidad DTLS, AnyConnect es utilizado por muchas compañías. Vamos a utilizar una versión de código abierto ocserv, que es compatible con el protocolo.

También vamos a implementar la verificación de certificados. El servidor identificará a los clientes verificando que si el certificado del cliente es emitido por la CA configurada. Esto simplifica enormemente la configuración en los clientes, ya que solo necesitaremos importar el certificado en el cliente (la mayoría de las veces un archivo pkcs12 ( .pfxo .p12)) y no se requieren contraseñas. Esto también es más seguro ya que no hay contraseñas que viajen por Internet.

Empecemos.

Prerrequisitos

• Un servidor CentOS 7 recién creado con IPv6 habilitado
• Una computadora que funciona (puede ser el servidor en sí; aunque está en desuso (ver más abajo)) ver nota 1
• Algunos clientes con el software de cliente AnyConnect (u OpenConnect) instalado, vea la nota 2

Notas:

1. Aunque es posible (y bastante conveniente) hacer todo en el servidor, el proceso de implementación consiste en generar claves privadas utilizadas para la firma y, debido a problemas de seguridad, este proceso debe realizarse en su propia computadora.

2. Debido a problemas de licencia, no proporcionaré enlaces para descargar el software del cliente. Sin embargo, encontrarlos para su cliente es bastante fácil. AnyConnect es una aplicación en las tiendas de aplicaciones en las principales plataformas móviles (iOS, Android, BlackBerry OS (v10 o superior), UWP) respectivamente y una simple búsqueda los traerá a usted. Para plataformas de PC, algunos Google le presentarán el software adecuado.

Instalación de software del lado del servidor

Las máquinas CentOS 7 de Vultr están configuradas con el repositorio EPEL. Solo instalamos ocservcon yum:

yum update
yum install ocserv

Necesitaremos un certificado de servidor para que las cosas funcionen. Si tiene un nombre de dominio, Let's Encrypt será la opción más fácil.

yum install certbot
certbot certonly

Elija "activar un servidor web temporal" para autenticarse con ACME CA. Si no tiene un dominio, se emitirá un certificado autofirmado más adelante.

Generación y configuración de certificados.

La PKI tradicional es bastante incómoda de usar, por lo que utilizaremos la easyrsautilidad del proyecto OpenVPN. Instale git en su máquina de trabajo y clone el repositorio:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Construiremos la CA y emitiremos certificados. Haga lo siguiente y escriba la frase de contraseña PEM que estableció en alguna parte:

./easyrsa init-pki
./easyrsa build-ca

Mantener un pki/private/ca.keylugar seguro. Fugas que harán que toda su infraestructura sea inútil.

Si elige usar un certificado de servidor autofirmado, haga lo siguiente:

./easyrsa gen-req server

E ingrese la dirección IP de su servidor como el nombre común.

./easyrsa sign-req server server

Esto firmará un certificado para el servidor. Transferir pki/issued/server.crty pki/ca.crta /etc/ssl/certsy pki/private/server.keya /etc/ssl/privateen su servidor.

A continuación crearemos certificados de cliente. Haz lo siguiente:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Elija un nombre del cliente y complételo en el campo de nombre común. ¡Recuerda la frase de contraseña!

A continuación, exportaremos el certificado en formato pkcs12 para usarlo en plataformas móviles. Hacer:

./easyrsa export-p12 client_01

Elija una contraseña de exportación que se le pedirá que ingrese al importar el certificado en el teléfono. Transfiere pki/private/client_01.p12a tu teléfono e impórtalo.

Configurando el servidor

Completaremos la información del certificado.

vim /etc/ocserv/ocserv.conf

Localice la server-certsección y complete lo siguiente:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Tenga en cuenta que si está utilizando un certificado autofirmado, recuerde eliminar primero la frase de contraseña openssl rsa -in server.key -out server-new.keypara que ocservpueda usar la clave privada.

Localizar authsección. Habilita esta línea:

auth = "certificate"

Y comenta todas las demás authlíneas.

Descomenta esta línea:

cert-user-oid = 2.5.4.3

Localice ipv6-networky complete el bloque ipv6 de su servidor. Este es el bloque desde el cual el servidor dará arrendamientos.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Establecer servidores DNS.

dns = 8.8.8.8
dns = 8.8.4.4

Habilite la compatibilidad con los clientes de Cisco.

cisco-client-compat = true

Abrir los puertos que establezca en tcp-porty udp-porty permitir mascarada para IPv4 e IPv6 en firewalld.

Inicia el servidor.

systemctl enable ocserv
systemctl start ocserv

¡Tiempo de prueba!

El servidor se ha configurado correctamente. Cree una conexión en su cliente y conéctese. Si las cosas salen mal, use este comando para depurar:

journalctl -fu ocserv

Además, IPv6 debería funcionar en el lado del cliente si el software del cliente es compatible con ipv6, incluso si la red de su cliente no le proporciona una dirección. Vaya a este sitio para probar.

¡Todo listo! ¡Disfruta de tu nuevo servidor VPN compatible con AnyConnect!