CentOS 7 पर प्रमाणपत्र सत्यापन के साथ AnyConnect संगत वीपीएन सर्वर की तैनाती

• आवश्यक शर्तें
• सर्वर-साइड सॉफ़्टवेयर इंस्टॉलेशन
• प्रमाणपत्र पीढ़ी और विन्यास
• सर्वर को कॉन्फ़िगर करना
• परीक्षण समय!

AnyConnect सिस्को द्वारा विकसित एक रिमोट एक्सेस समाधान है। पोर्टेबिलिटी और स्थिरता के लिए प्रसिद्ध, विशेष रूप से इसकी DTLS क्षमता, AnyConnect का उपयोग कई कंपनियों द्वारा किया जाता है। हम एक ओपन-सोर्स संस्करण का उपयोग करने जा रहे हैं ocserv, जो प्रोटोकॉल के अनुकूल है।

हम प्रमाणपत्र सत्यापन भी तैनात करने जा रहे हैं। सर्वर ग्राहकों की पहचान करके जाँच करेगा कि यदि ग्राहक का प्रमाणपत्र कॉन्फ़िगर किया गया CA द्वारा जारी किया गया है। यह क्लाइंट पर कॉन्फ़िगरेशन को बहुत सरल करता है क्योंकि हमें केवल क्लाइंट पर प्रमाण पत्र आयात करने की आवश्यकता होगी (अधिकांश समय pkcs12 फ़ाइल ( .pfxया .p12)) और पासवर्ड की आवश्यकता नहीं होती है। यह भी अधिक सुरक्षित है क्योंकि कोई भी पासवर्ड इंटरनेट के आसपास नहीं जाता है।

चलो शुरू करते हैं।

आवश्यक शर्तें

• IPv6 के साथ एक नव निर्मित CentOS 7 सर्वर सक्षम
• एक काम करने वाला कंप्यूटर (स्वयं सर्वर हो सकता है; हटाए गए हालांकि (नीचे देखें)) नोट 1 देखें
• AnyConnect (या OpenConnect) क्लाइंट सॉफ़्टवेयर स्थापित के साथ कुछ क्लाइंट नोट 2 देखते हैं

टिप्पणियाँ:

1. यद्यपि सर्वर पर सबकुछ करना संभव (और सुविधाजनक) है, परिनियोजन प्रक्रिया में हस्ताक्षर करने के लिए उपयोग की जाने वाली निजी कुंजी उत्पन्न होती है और सुरक्षा चिंताओं के कारण, यह प्रक्रिया आपके कंप्यूटर पर की जानी चाहिए।

2. लाइसेंसिंग समस्याओं के कारण, मैं क्लाइंट सॉफ़्टवेयर डाउनलोड करने के लिए लिंक प्रदान नहीं करूंगा। हालांकि उन्हें अपने ग्राहक के लिए ढूंढना बहुत आसान है। AnyConnect क्रमशः प्रमुख मोबाइल प्लेटफार्मों (आईओएस, एंड्रॉइड, ब्लैकबेरी ओएस (वी 10 या इसके बाद के संस्करण), यूडब्ल्यूपी) पर ऐप स्टोर में एक ऐप है और एक सरल खोज उन्हें आपके पास लाएगी। पीसी प्लेटफार्मों के लिए, कुछ Googling आपको उपयुक्त सॉफ्टवेयर के साथ प्रस्तुत करेंगे।

सर्वर-साइड सॉफ़्टवेयर इंस्टॉलेशन

Vultr के CentOS 7 मशीन को EPEL रिपॉजिटरी से कॉन्फ़िगर किया गया है। हम बस के ocservसाथ स्थापित yum:

yum update
yum install ocserv

हमें काम करने के लिए सर्वर प्रमाणपत्र की आवश्यकता होगी। यदि आपके पास एक डोमेन नाम है, तो चलो एनक्रिप्ट सबसे आसान विकल्प होगा।

yum install certbot
certbot certonly

ACME CA के साथ प्रमाणित करने के लिए "एक अस्थायी वेब सर्वर को स्पिन करें" चुनें। यदि आपके पास एक डोमेन नहीं है, तो बाद में एक स्व-हस्ताक्षरित प्रमाण पत्र जारी किया जाएगा।

प्रमाणपत्र पीढ़ी और विन्यास

पारंपरिक PKI उपयोग करने के लिए असुविधाजनक है, इसलिए हम easyrsaOpenVPN परियोजना से उपयोगिता का उपयोग करेंगे । अपनी वर्किंग मशीन पर गिट स्थापित करें और रिपॉजिटरी को क्लोन करें:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

हम सीए बनाएंगे और सर्टिफिकेट जारी करेंगे। निम्नलिखित करें और PEM पासफ़्रेज़ लिखें जिसे आपने कहीं सेट किया है:

./easyrsa init-pki
./easyrsa build-ca

pki/private/ca.keyकहीं सुरक्षित रखें । लीक होना जो आपके पूरे बुनियादी ढांचे को बेकार कर देगा।

यदि आप स्व-हस्ताक्षरित सर्वर प्रमाणपत्र का उपयोग करना चुनते हैं, तो निम्न कार्य करें:

./easyrsa gen-req server

और अपने सर्वर के आईपी पते को सामान्य नाम से इनपुट करें।

./easyrsa sign-req server server

यह सर्वर के लिए एक प्रमाण पत्र पर हस्ताक्षर करेगा। स्थानांतरण pki/issued/server.crtऔर pki/ca.crtकरने के लिए /etc/ssl/certsऔर pki/private/server.keyकरने के लिए /etc/ssl/privateअपने सर्वर पर।

आगे हम क्लाइंट सर्टिफिकेट बनाएंगे। निम्न कार्य करें:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

क्लाइंट का एक नाम चुनें और इसे सामान्य नाम फ़ील्ड में भरें। पासफ़्रेज़ याद रखें!

आगे हम मोबाइल प्लेटफ़ॉर्म पर उपयोग के लिए प्रमाणपत्र pkcs12 प्रारूप में निर्यात करने जा रहे हैं। करना:

./easyrsa export-p12 client_01

एक निर्यात पासवर्ड चुनें, जिसे आपको फोन पर प्रमाण पत्र आयात करते समय दर्ज करने के लिए कहा जाएगा। pki/private/client_01.p12अपने फ़ोन पर स्थानांतरण करें और इसे आयात करें।

सर्वर को कॉन्फ़िगर करना

हम प्रमाणपत्र जानकारी भरेंगे।

vim /etc/ocserv/ocserv.conf

पता लगाएँ server-certनिम्नलिखित में अनुभाग और भरने:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

ध्यान दें कि यदि आप स्व-हस्ताक्षरित प्रमाण पत्र का उपयोग कर रहे हैं, openssl rsa -in server.key -out server-new.keyतो पहले पासफ़्रेज़ को हटाना याद रखें ताकि ocservनिजी कुंजी का उपयोग कर सकें ।

authखंड का पता लगाएँ । इस लाइन को सक्षम करें:

auth = "certificate"

और अन्य सभी authलाइनों पर टिप्पणी करें ।

इस लाइन को रद्द करें:

cert-user-oid = 2.5.4.3

ipv6-networkअपने सर्वर के आईपीवी 6 ब्लॉक का पता लगाएँ और भरें। यह वह ब्लॉक है जिससे सर्वर पट्टों को देगा।

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

DNS सर्वर सेट करें।

dns = 8.8.8.8
dns = 8.8.4.4

सिस्को ग्राहकों के साथ संगतता सक्षम करें।

cisco-client-compat = true

बंदरगाहों आप में सेट खोलें tcp-portऔर udp-portऔर दोनों IPv4 और firewalld में IPv6 के लिए Masquerade सक्षम करें।

सर्वर शुरू करें।

systemctl enable ocserv
systemctl start ocserv

परीक्षण समय!

सर्वर को सफलतापूर्वक कॉन्फ़िगर किया गया है। अपने क्लाइंट में एक कनेक्शन बनाएं और कनेक्ट करें। अगर कुछ गलत होता है, तो इस कमांड का उपयोग डिबग करने के लिए करें:

journalctl -fu ocserv

इसके अलावा, अगर आपके क्लाइंट का नेटवर्क आपको पता देने की सुविधा नहीं देता है तो भी IPv6 क्लाइंट-साइड पर काम करना चाहिए। परीक्षण करने के लिए इस साइट पर जाएँ ।

सब तैयार! अपने नए AnyConnect- अनुकूलनीय वीपीएन सर्वर का आनंद लें!