Menyebarkan AnyConnect Compatiable VPN Server Dengan Verifikasi Sertifikat pada CentOS 7

• Prasyarat
• Instalasi perangkat lunak sisi server
• Pembuatan dan konfigurasi sertifikat
• Mengkonfigurasi server
• Waktu tes!

AnyConnect adalah solusi akses jarak jauh yang dikembangkan oleh Cisco. Terkenal karena portabilitas dan stabilitasnya, terutama kemampuan DTLS-nya, AnyConnect digunakan oleh banyak perusahaan. Kami akan menggunakan versi open-source ocserv, yang kompatibel dengan protokol.

Kami juga akan menggunakan verifikasi sertifikat. Server akan mengidentifikasi klien dengan memeriksa apakah sertifikat klien dikeluarkan oleh CA yang dikonfigurasi. Ini sangat menyederhanakan konfigurasi pada klien karena kita hanya perlu mengimpor sertifikat pada klien (sebagian besar kali file pkcs12 ( .pfxatau .p12)) dan tidak ada kata sandi yang diperlukan. Ini juga lebih aman karena tidak ada kata sandi yang beredar di Internet.

Ayo mulai.

Prasyarat

• Server CentOS 7 yang baru dibuat dengan IPv6 diaktifkan
• Komputer yang berfungsi (bisa jadi server itu sendiri; sudah usang (lihat di bawah)) lihat catatan 1
• Beberapa klien dengan perangkat lunak klien AnyConnect (atau OpenConnect) diinstal lihat catatan 2

Catatan:

1. Meskipun dimungkinkan (dan lebih mudah) untuk melakukan segala sesuatu di server, proses penyebaran terdiri dari menghasilkan kunci pribadi yang digunakan untuk menandatangani dan karena masalah keamanan, proses ini harus dilakukan pada komputer Anda sendiri.

2. Karena masalah lisensi, saya tidak akan menyediakan tautan untuk mengunduh perangkat lunak klien. Menemukan mereka untuk klien Anda cukup mudah. AnyConnect adalah aplikasi di App Stores pada platform seluler utama (iOS, Android, BlackBerry OS (v10 atau lebih tinggi), UWP), masing-masing dan pencarian sederhana akan membawanya kepada Anda. Untuk platform PC, beberapa Googling akan memberi Anda perangkat lunak yang sesuai.

Instalasi perangkat lunak sisi server

Mesin CentOS 7 milik Vultr dikonfigurasikan dengan repositori EPEL. Kami baru saja menginstal ocservdengan yum:

yum update
yum install ocserv

Kami akan membutuhkan sertifikat server untuk bekerja. Jika Anda memiliki nama domain, Let's Encrypt akan menjadi pilihan termudah.

yum install certbot
certbot certonly

Pilih "putar server Web sementara" untuk mengautentikasi dengan ACME CA. Jika Anda tidak memiliki domain, sertifikat yang ditandatangani sendiri akan dikeluarkan nanti.

Pembuatan dan konfigurasi sertifikat

PKI tradisional agak tidak nyaman untuk digunakan, jadi kami akan menggunakan easyrsautilitas dari proyek OpenVPN. Instal git di mesin Anda dan klon repositori:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Kami akan membangun CA dan menerbitkan sertifikat. Lakukan yang berikut dan tulis frasa sandi PEM yang Anda tetapkan di suatu tempat:

./easyrsa init-pki
./easyrsa build-ca

Simpan di pki/private/ca.keytempat yang aman. Bocor yang akan membuat seluruh infrastruktur Anda tidak berguna.

Jika Anda memilih untuk menggunakan sertifikat server yang ditandatangani sendiri, lakukan hal berikut:

./easyrsa gen-req server

Dan masukkan alamat IP server Anda sebagai nama umum.

./easyrsa sign-req server server

Ini akan menandatangani sertifikat untuk server. Transfer pki/issued/server.crtdan pki/ca.crtke /etc/ssl/certsdan pki/private/server.keyke /etc/ssl/privatedi server Anda.

Selanjutnya kita akan membuat sertifikat klien. Lakukan hal berikut:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Pilih nama klien dan isikan ke bidang nama umum. Ingat frasa sandi!

Selanjutnya kita akan mengekspor sertifikat dalam format pkcs12 untuk penggunaan pada platform seluler. Melakukan:

./easyrsa export-p12 client_01

Pilih kata sandi ekspor yang akan diminta untuk Anda masukkan ketika mengimpor sertifikat di ponsel. Transfer pki/private/client_01.p12ke ponsel Anda dan impor.

Mengkonfigurasi server

Kami akan mengisi informasi sertifikat.

vim /etc/ocserv/ocserv.conf

Temukan server-certbagian dan isi yang berikut ini:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Perhatikan bahwa jika Anda menggunakan sertifikat yang ditandatangani sendiri, jangan lupa untuk menghapus frasa sandi terlebih dahulu openssl rsa -in server.key -out server-new.keysehingga ocservdapat menggunakan kunci pribadi.

Temukan authbagian. Aktifkan baris ini:

auth = "certificate"

Dan komentar semua authbaris lainnya .

Batalkan komentar pada baris ini:

cert-user-oid = 2.5.4.3

Temukan ipv6-networkdan isi blok ipv6 server Anda. Ini adalah blok tempat server akan memberikan sewa.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Setel server DNS.

dns = 8.8.8.8
dns = 8.8.4.4

Aktifkan kompatibilitas dengan klien Cisco.

cisco-client-compat = true

Membuka port yang Anda tetapkan di tcp-portdan udp-portdan memungkinkan masquerade untuk IPv4 dan IPv6 di firewalld.

Mulai server.

systemctl enable ocserv
systemctl start ocserv

Waktu tes!

Server telah berhasil dikonfigurasi. Buat koneksi di klien Anda dan terhubung. Jika ada yang salah, gunakan perintah ini untuk men-debug:

journalctl -fu ocserv

Selain itu, IPv6 akan berfungsi di sisi klien jika perangkat lunak klien Anda mendukung ipv6 bahkan jika jaringan klien Anda tidak memberikan Anda alamat. Pergi ke situs ini untuk menguji.

Siap! Nikmati server VPN anyConnect-compatiable baru Anda!