استفاده از سرور VPN سازگار AnyConnect با تأیید گواهینامه در CentOS 7

• پیش نیازها
• نصب نرم افزار سمت سرور
• تولید و پیکربندی گواهی
• پیکربندی سرور
• زمان تست!

AnyConnect یک راه حل دسترسی از راه دور است که توسط سیسکو ساخته شده است. به دلیل قابلیت حمل و پایداری و خصوصاً قابلیت DTLS که دارد ، AnyConnect در بسیاری از شرکت ها مورد استفاده قرار می گیرد. ما می خواهیم از نسخه منبع باز استفاده کنیم ocserv، که با پروتکل سازگار است.

ما همچنین قصد داریم تأییدیه گواهینامه را مستقر کنیم. سرور با بررسی اینکه گواهی مشتری توسط CA تنظیم شده صادر شده است ، مشتری را شناسایی می کند. این امر پیکربندی مشتری را بسیار ساده تر می کند زیرا ما فقط نیاز به وارد کردن گواهینامه در مشتری (بیشتر اوقات پرونده pkcs12 ( .pfxیا .p12)) داریم و هیچ رمز عبور لازم نیست. این همچنین از امنیت بیشتری برخوردار است زیرا هیچ گذرواژه ای در اینترنت تردد نمی کند.

بیا شروع کنیم.

پیش نیازها

• یک سرور CentOS 7 تازه ایجاد شده با IPv6 فعال شده است
• یک رایانه در حال کار (می تواند خود سرور باشد ؛ هرچند مستهلک شود (به تصویر زیر مراجعه کنید)) به یادداشت شماره 1 مراجعه کنید
• برخی از مشتریانی که نرم افزار سرویس گیرنده AnyConnect (یا OpenConnect) نصب شده اند ، به یادداشت 2 مراجعه کنند

یادداشت:

1. اگرچه انجام همه کارها روی سرور امکان پذیر است (و نه راحت) ، فرایند استقرار شامل تولید کلیدهای خصوصی است که برای امضاء استفاده می شود و به دلیل نگرانی های امنیتی ، این روند باید در رایانه شخصی شما انجام شود.

2. به دلیل مشکلات صدور مجوز ، پیوندهایی برای بارگیری نرم افزار مشتری ارائه نمی دهم. اما پیدا کردن آنها برای مشتری شما بسیار آسان است. AnyConnect به ترتیب در فروشگاه های برنامه در سیستم عامل های اصلی تلفن همراه (iOS ، Android ، BlackBerry OS (v10 یا بالاتر) ، UWP) است و یک جستجوی ساده آنها را به سمت شما می آورد. برای سیستم عامل های رایانه شخصی ، برخی از Googling نرم افزار مناسبی را به شما معرفی می کنند.

نصب نرم افزار سمت سرور

ماشین های Vultr CentOS 7 با مخزن EPEL پیکربندی شده اند. ما فقط ocservبا نصب می کنیم yum:

yum update
yum install ocserv

برای کار کردن به گواهی سرور نیاز داریم. اگر نام دامنه دارید ، Letry Encrypt ساده ترین گزینه خواهد بود.

yum install certbot
certbot certonly

"چرخش سرور وب موقتی" را برای تأیید اعتبار با ACME CA انتخاب کنید. اگر دامنه ندارید ، یک گواهی خود امضا شده بعداً صادر می شود.

تولید و پیکربندی گواهی

PKI سنتی استفاده از آن بسیار ناخوشایند است ، بنابراین ما می توانیم easyrsaاز پروژه OpenVPN استفاده کنیم. git را روی دستگاه کار خود نصب کنید و مخزن را کلون کنید:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

ما CA را ساخته و گواهینامه هایی صادر می کنیم. موارد زیر را انجام دهید و عبارت عبور PEM را که در جایی تنظیم کرده اید بنویسید:

./easyrsa init-pki
./easyrsa build-ca

در pki/private/ca.keyجایی ایمن باشید. نشتی باعث می شود کل زیرساخت های شما بی فایده شود.

اگر تصمیم به استفاده از گواهی سرور خود امضا کرده اید ، موارد زیر را انجام دهید:

./easyrsa gen-req server

و آدرس IP سرور خود را به عنوان نام مشترک وارد کنید.

./easyrsa sign-req server server

با این کار یک گواهی برای سرور امضا می شود. انتقال pki/issued/server.crtو pki/ca.crtبه /etc/ssl/certsو pki/private/server.keyبه /etc/ssl/privateروی سرور خود.

بعد گواهینامه های مشتری ایجاد خواهیم کرد. موارد زیر را انجام دهید:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

نام مشتری را انتخاب کنید و آن را در قسمت نام مشترک پر کنید. به یاد داشته باشید کلمه عبور!

در مرحله بعد می خواهیم گواهی را در قالب pkcs12 برای استفاده در سیستم عامل های تلفن همراه صادر کنیم. انجام دادن:

./easyrsa export-p12 client_01

رمز ورود صادراتی را انتخاب کنید که هنگام وارد کردن گواهی بر روی تلفن از شما خواسته می شود وارد کنید. pki/private/client_01.p12به تلفن خود انتقال داده و آن را وارد کنید.

پیکربندی سرور

اطلاعات گواهی را پر می کنیم.

vim /etc/ocserv/ocserv.conf

تعیین محل server-certبخش و پر کردن موارد زیر است:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

توجه داشته باشید که اگر از یک گواهی خود امضا شده استفاده می کنید ، ابتدا به یاد داشته باشید که عبارت عبور را از این طریق حذف کنید openssl rsa -in server.key -out server-new.keyتا ocservبتوانید از کلید خصوصی استفاده کنید.

یافتن authبخش. فعال کردن این خط:

auth = "certificate"

و تمام authسطرهای دیگر را اظهار نظر کنید

لغو پاسخ این خط:

cert-user-oid = 2.5.4.3

تعیین محل ipv6-networkو پر کردن بلوک از IPv6 سرور شما. این بلوکی است که سرور از آن اجاره نامه می دهد.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

سرورهای DNS را تنظیم کنید.

dns = 8.8.8.8
dns = 8.8.4.4

سازگاری با مشتریان سیسکو را فعال کنید.

cisco-client-compat = true

پورت شما را در مجموعه باز tcp-portو udp-portو فعال کردن لباس مبدل در امدن برای هر دو IPv4 و IPv6 در firewalld.

سرور را شروع کنید.

systemctl enable ocserv
systemctl start ocserv

زمان تست!

سرور با موفقیت پیکربندی شده است. در مشتری خود یک اتصال ایجاد کنید و وصل شوید. اگر کارها اشتباه پیش آمد ، از این دستور برای رفع اشکال استفاده کنید:

journalctl -fu ocserv

همچنین ، اگر نرم افزار مشتری شما از ipv6 پشتیبانی کند ، حتی اگر شبکه مشتری شما آدرس شما را ارائه ندهد ، IPv6 باید در سمت مشتری کار کند. برای تست به این سایت بروید .

همه مجموعه از سرور جدید VPN سازگار با AnyConnect خود لذت ببرید!