Ubuntu 14.04 x64에서 Cisco AnyConnect 용 OpenConnect VPN 서버 설정

• ocserv 설치
• ocserv 구성
• Cisco AnyConnect를 사용하여 ocserv 시작 및 연결

ocserv라고도하는 OpenConnect 서버는 SSL을 통해 통신하는 VPN 서버입니다. 설계 상 목표는 안전하고 가벼우 며 빠른 VPN 서버가되는 것입니다. OpenConnect 서버는 OpenConnect SSL VPN 프로토콜을 사용합니다. 작성 당시에는 AnyConnect SSL VPN 프로토콜을 사용하는 클라이언트와 실험적으로 호환됩니다.

이 기사에서는 Ubuntu 14.04 x64에서 ocserv를 설치하고 설정하는 방법을 보여줍니다.

ocserv 설치

Ubuntu 14.04는 ocserv와 함께 제공되지 않으므로 소스 코드를 다운로드하여 컴파일해야합니다. ocserv의 최신 안정 버전은 0.9.2입니다.

공식 사이트에서 ocserv를 다운로드하십시오.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

그런 다음 컴파일 종속성을 설치하십시오.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

ocserv를 컴파일하고 설치하십시오.

./configure
make
make install

ocserv 구성

샘플 구성 파일은 디렉토리 아래에 ocser-0.9.2/doc있습니다. 이 파일을 템플릿으로 사용합니다. 먼저 자체 CA 인증서 및 서버 인증서를 만들어야합니다.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

ca.tmpl다음과 유사한 내용 으로 CA 템플릿 파일 ( )을 만듭니다 . "cn"과 "organization"을 설정할 수 있습니다.

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

그런 다음 CA 키와 CA 인증서를 생성하십시오.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

그런 다음 server.tmpl아래 내용 으로 로컬 서버 인증서 템플릿 파일 ( )을 만듭니다 . "cn"필드에주의하십시오. 서버의 DNS 이름 또는 IP 주소와 일치해야합니다.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

그런 다음 서버 키와 인증서를 생성하십시오.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

키, 인증서 및 구성 파일을 ocserv 구성 디렉토리에 복사하십시오.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

아래에서 구성 파일을 편집하십시오 /etc/ocserv. 아래 설명 된 필드를 주석 해제하거나 수정하십시오.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

ocserv 로그인에 사용될 사용자를 생성하십시오.

ocpasswd -c /etc/ocserv/ocpasswd username

NAT를 활성화하십시오.

iptables -t nat -A POSTROUTING -j MASQUERADE

IPv4 전달을 활성화하십시오. 파일을 편집하십시오 /etc/sysctl.conf.

net.ipv4.ip_forward=1

이 수정을 적용하십시오.

sysctl -p /etc/sysctl.conf

Cisco AnyConnect를 사용하여 ocserv 시작 및 연결

먼저 ocserv를 시작하십시오.

ocserv -c /etc/ocserv/config

그런 다음 iPhone, iPad 또는 Android 장치와 같은 모든 장치에 Cisco AnyConnect를 설치하십시오. 자체 서명 된 서버 키와 인증서를 사용 했으므로 안전하지 않은 서버를 방지하는 옵션을 선택 취소해야합니다. 이 옵션은 AnyConnect의 설정에 있습니다. 이제 ocserv의 도메인 이름 또는 IP 주소와 생성 한 사용자 이름 / 암호로 새로운 연결을 설정할 수 있습니다.

연결하고 즐기십시오!