Déploiement dun serveur VPN compatible AnyConnect avec vérification de certificat sur CentOS 7

• Conditions préalables
• Installation de logiciels côté serveur
• Génération et configuration de certificats
• Configuration du serveur
• Temps de test!

AnyConnect est une solution d'accès à distance développée par Cisco. Bien connu pour sa portabilité et sa stabilité, en particulier sa capacité DTLS, AnyConnect est utilisé par de nombreuses entreprises. Nous allons utiliser une version open-source, ocservcompatible avec le protocole.

Nous allons également déployer la vérification des certificats. Le serveur identifiera les clients en vérifiant que si le certificat du client est émis par l'autorité de certification configurée. Cela simplifie considérablement la configuration sur les clients car nous n'aurons qu'à importer le certificat sur le client (la plupart du temps un fichier pkcs12 ( .pfxou .p12)) et aucun mot de passe n'est requis. Ceci est également plus sûr car aucun mot de passe ne circule sur Internet.

Commençons.

Conditions préalables

• Un serveur CentOS 7 nouvellement créé avec IPv6 activé
• Un ordinateur qui fonctionne (peut être le serveur lui-même; cependant obsolète (voir ci-dessous)) voir la note 1
• Certains clients avec le logiciel client AnyConnect (ou OpenConnect) installé, voir la note 2

Remarques:

1. Bien qu'il soit possible (et plutôt pratique) de tout faire sur le serveur, le processus de déploiement consiste à générer des clés privées utilisées pour la signature et en raison de problèmes de sécurité, ce processus doit être effectué sur votre propre ordinateur.

2. En raison de problèmes de licence, je ne fournirai pas de liens pour télécharger le logiciel client. Les trouver pour votre client est cependant assez facile. AnyConnect est une application dans les App Stores sur les principales plateformes mobiles (iOS, Android, BlackBerry OS (v10 ou supérieur), UWP) respectivement et une simple recherche vous les apportera. Pour les plates-formes PC, certains googleurs vous présenteront le logiciel approprié.

Installation de logiciels côté serveur

Les machines CentOS 7 de Vultr sont configurées avec le référentiel EPEL. Nous installons simplement ocservavec yum:

yum update
yum install ocserv

Nous aurons besoin d'un certificat de serveur pour que les choses fonctionnent. Si vous avez un nom de domaine, Let's Encrypt sera le choix le plus simple.

yum install certbot
certbot certonly

Choisissez "tourner un serveur Web temporaire" pour vous authentifier avec ACME CA. Si vous n'avez pas de domaine, un certificat auto-signé sera émis ultérieurement.

Génération et configuration de certificats

L'ICP traditionnelle est plutôt peu pratique à utiliser, nous allons donc utiliser l' easyrsautilitaire du projet OpenVPN. Installez git sur votre machine de travail et clonez le référentiel:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Nous allons créer l'AC et émettre des certificats. Procédez comme suit et écrivez la phrase de passe PEM que vous avez définie quelque part:

./easyrsa init-pki
./easyrsa build-ca

Gardez un pki/private/ca.keyendroit sûr. Une fuite qui rendra toute votre infrastructure inutile.

Si vous choisissez d'utiliser un certificat de serveur auto-signé, procédez comme suit:

./easyrsa gen-req server

Et entrez l'adresse IP de votre serveur comme nom commun.

./easyrsa sign-req server server

Cela signera un certificat pour le serveur. Transférez pki/issued/server.crtet pki/ca.crtvers /etc/ssl/certset pki/private/server.keyvers /etc/ssl/privatevotre serveur.

Nous allons ensuite créer des certificats clients. Procédez comme suit:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Choisissez un nom du client et remplissez-le dans le champ du nom commun. Rappelez-vous la phrase secrète!

Ensuite, nous allons exporter le certificat au format pkcs12 pour une utilisation sur les plates-formes mobiles. Faire:

./easyrsa export-p12 client_01

Choisissez un mot de passe d'exportation que vous serez invité à saisir lors de l'importation du certificat sur le téléphone. Transférez pki/private/client_01.p12sur votre téléphone et importez-le.

Configuration du serveur

Nous remplirons les informations du certificat.

vim /etc/ocserv/ocserv.conf

Localisez la server-certsection et remplissez ce qui suit:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Notez que si vous utilisez un certificat auto-signé, n'oubliez pas de supprimer la phrase secrète en premier openssl rsa -in server.key -out server-new.keyafin de ocservpouvoir utiliser la clé privée.

Localisez la authsection. Activez cette ligne:

auth = "certificate"

Et commentez toutes les autres authlignes.

Décommentez cette ligne:

cert-user-oid = 2.5.4.3

Localisez ipv6-networket remplissez le bloc ipv6 de votre serveur. Il s'agit du bloc à partir duquel le serveur accordera des baux.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Définissez les serveurs DNS.

dns = 8.8.8.8
dns = 8.8.4.4

Activez la compatibilité avec les clients Cisco.

cisco-client-compat = true

Ouvrez les ports définis dans tcp-portet udp-portet pour activer le masquage et les deux ipv6 dans ipv4 firewalld.

Démarrez le serveur.

systemctl enable ocserv
systemctl start ocserv

Temps de test!

Le serveur a été correctement configuré. Créez une connexion dans votre client et connectez-vous. Si les choses tournent mal, utilisez cette commande pour déboguer:

journalctl -fu ocserv

De plus, IPv6 devrait fonctionner côté client si votre logiciel client prend en charge ipv6 même si le réseau de votre client ne vous fournit pas d'adresse. Allez sur ce site pour tester.

Tout est prêt! Profitez de votre nouveau serveur VPN compatible AnyConnect!