AnyConnect is een oplossing voor externe toegang die is ontwikkeld door Cisco. Bekend om zijn draagbaarheid en stabiliteit, vooral zijn DTLS-capaciteit, wordt AnyConnect door veel bedrijven gebruikt. We gaan een open-source versie gebruiken ocserv, die compatibel is met het protocol.
We gaan ook certificaatverificatie inzetten. De server identificeert de clients door te controleren of het clientcertificaat wordt uitgegeven door de geconfigureerde CA. Dit vereenvoudigt de configuratie op clients aanzienlijk, omdat we het certificaat alleen op de client hoeven te importeren (meestal een pkcs12-bestand ( .pfxof .p12)) en geen wachtwoorden nodig zijn. Dit is ook veiliger omdat er geen wachtwoorden over het internet reizen.
Laten we beginnen.
Opmerkingen:
Hoewel het mogelijk (en redelijk handig) is om alles op de server te doen, bestaat het implementatieproces uit het genereren van privésleutels die worden gebruikt voor ondertekening en vanwege beveiligingsproblemen moet dit proces op uw eigen computer worden uitgevoerd.
Vanwege licentieproblemen zal ik geen links geven om de clientsoftware te downloaden. Het is echter vrij eenvoudig om ze voor uw klant te vinden. AnyConnect is een app in de App Stores op respectievelijk grote mobiele platforms (iOS, Android, BlackBerry OS (v10 of hoger), UWP) en een simpele zoekopdracht brengt ze naar je toe. Voor pc-platforms biedt sommige Googling u de geschikte software.
De CentOS 7-machines van Vultr zijn geconfigureerd met de EPEL-repository. We installeren gewoon ocservmet yum:
yum update
yum install ocserv
We hebben een servercertificaat nodig om te kunnen werken. Als u een domeinnaam heeft, is Let's Encrypt de gemakkelijkste keuze.
yum install certbot
certbot certonly
Kies "Spin a Temporary Web Server" om te verifiëren met ACME CA. Als u geen domein heeft, wordt later een zelfondertekend certificaat afgegeven.
De traditionele PKI is nogal onhandig om te gebruiken, dus we zullen het easyrsahulpprogramma van het OpenVPN-project gebruiken. Installeer git op uw werkende machine en kloon de repository:
git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3
We gaan de CA bouwen en certificaten uitgeven. Doe het volgende en schrijf de PEM-wachtwoordzin die je ergens hebt ingesteld:
./easyrsa init-pki
./easyrsa build-ca
Bewaar pki/private/ca.keyergens veilig. Lekkage waardoor uw hele infrastructuur onbruikbaar wordt.
Als u ervoor kiest om een zelfondertekend servercertificaat te gebruiken, doet u het volgende:
./easyrsa gen-req server
En voer het IP-adres van uw server in als de algemene naam.
./easyrsa sign-req server server
Hiermee wordt een certificaat voor de server ondertekend. Transfer pki/issued/server.crten pki/ca.crtvan /etc/ssl/certsen pki/private/server.keynaar /etc/ssl/privateop uw server.
Vervolgens maken we klantcertificaten. Doe het volgende:
./easyrsa gen-req client_01
./easyrsa sign-req client client_01
Kies een naam van de klant en vul deze in het veld algemene naam in. Onthoud de wachtwoordzin!
Vervolgens gaan we het certificaat exporteren in pkcs12-indeling voor gebruik op mobiele platforms. Doen:
./easyrsa export-p12 client_01
Kies een exportwachtwoord dat u moet invoeren wanneer u het certificaat op de telefoon importeert. Breng over pki/private/client_01.p12naar uw telefoon en importeer deze.
We vullen de certificaatgegevens in.
vim /etc/ocserv/ocserv.conf
Zoek het server-certgedeelte en vul het volgende in:
# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem
# If you use self-signed server certificate
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key
ca-cert = /etc/ssl/certs/ca.crt
Houd er rekening mee dat als u een zelfondertekend certificaat gebruikt, vergeet niet eerst de wachtwoordzin te verwijderen, openssl rsa -in server.key -out server-new.keyzodat ocservde privésleutel kan worden gebruikt.
Lokaliseer authsectie. Schakel deze regel in:
auth = "certificate"
En becommentarieer alle andere authregels.
Geef commentaar op deze regel:
cert-user-oid = 2.5.4.3
Zoek ipv6-networken vul het ipv6-blok van uw server in. Dit is het blok waarvan de server leasecontracten zal afgeven.
ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124
Stel DNS-servers in.
dns = 8.8.8.8
dns = 8.8.4.4
Compatibiliteit met Cisco-clients inschakelen.
cisco-client-compat = true
Open de poorten die u in te stellen tcp-porten udp-porten maken maskerade voor zowel IPv4 als IPv6 in firewalld.
Start de server.
systemctl enable ocserv
systemctl start ocserv
De server is succesvol geconfigureerd. Maak een verbinding in uw klant en maak verbinding. Als er iets misgaat, gebruikt u deze opdracht om te debuggen:
journalctl -fu ocserv
IPv6 zou ook aan de clientkant moeten werken als uw clientsoftware ipv6 ondersteunt, zelfs als het netwerk van uw cliënt u geen adres geeft. Ga naar deze site om te testen.
Helemaal klaar! Geniet van uw nieuwe AnyConnect-compatibele VPN-server!
Gebruikt u een ander systeem? Introductie CyberPanel is een van de eerste bedieningspanelen op de markt die zowel open source is als OpenLiteSpeed gebruikt. Wat thi
Introductie Sensu is een gratis en open source monitoringoplossing die kan worden gebruikt om server, applicatie en verschillende systeemservices te monitoren. Sensu i
Het gebruik van een sudo-gebruiker om toegang te krijgen tot een server en opdrachten uit te voeren op rootniveau is een veel voorkomende praktijk onder Linux en Unix-systeembeheerder. Het gebruik van een sud
Gebruikt u een ander systeem? RTMP is geweldig voor het weergeven van live inhoud. Wanneer RTMP is gekoppeld aan FFmpeg, kunnen streams worden omgezet in verschillende kwaliteiten. Vultr ik
TaskBoard is een gratis en open source webbeheer voor tijdbeheer. Geïnspireerd door Kanban, kan TaskBoard u helpen bij het bijhouden van dingen die moeten worden gedaan in een
Gebruikt u een ander systeem? Gradle is een gratis en open source toolset voor het automatiseren van builds, gebaseerd op de concepten van Apache Ant en Apache Maven. Gradle biedt
Gebruikt u een ander systeem? In deze handleiding zullen we zien hoe u een FTP-server (ProFTPd) configureert om bestanden over te zetten tussen uw pc en uw server.
Gebruikt u een ander systeem? Netdata is een rijzende ster op het gebied van realtime monitoring van systeemstatistieken. Vergeleken met andere tools van dezelfde soort, Netdata:
Gebruikt u een ander systeem? Apache Cassandra is een gratis en open source NoSQL-databasebeheersysteem dat is ontworpen om schaalbaarheid te bieden
In deze tutorial leer je goed hoe je een Just Cause 2 multiplayer-server opzet. Vereisten Zorg ervoor dat het systeem volledig is bijgewerkt voordat we beginnen
Gebruikt u een ander systeem? In deze tutorial leg ik uit hoe je een Starbound-server instelt op CentOS 7. Vereisten Je moet dit spel op je hebben
ZNC is een gratis en open-source IRC-uitsmijter die permanent verbonden blijft met een netwerk, zodat klanten berichten kunnen ontvangen die worden verzonden terwijl ze offline zijn. Thi
Django is een populair Python-framework voor het schrijven van webapplicaties. Met Django kun je sneller applicaties bouwen, zonder het wiel opnieuw uit te vinden. Als je wilt
MantisBT, of Mantis Bug Tracker, is een open source issue tracker geschreven in PHP. MantisBT is uitgebalanceerd tussen gebruiksgemak en functionaliteit, mits
Gebruikt u een ander systeem? Elgg is een open source engine voor sociaal netwerken waarmee sociale omgevingen kunnen worden gecreëerd, zoals sociale campusnetwerken
Froxlor is een open source, gratis, lichtgewicht en toch krachtig serverbeheerpaneel dat geweldig is voor het opzetten en beheren van webhostingservices. Thi
Gebruikt u een ander systeem? Alfresco Community Edition is een open source-versie van de Alfresco Content Services. Het is geschreven in Java en gebruikt PostgreSQL t
Vtiger CRM is een populaire applicatie voor klantrelatiebeheer die bedrijven kan helpen hun verkoop te laten groeien, klantenservice te bieden en de winst te vergroten. ik
Wat je nodig hebt Een Vultr VPS met minimaal 1 GB RAM. SSH-toegang (met root- / beheerdersrechten). Stap 1: BungeeCord installeren Eerste dingen eerst
MaraDNS is een lichtgewicht maar robuust open source DNS-serverprogramma. Vergeleken met andere applicaties van dezelfde soort, zoals ISC BIND, PowerDNS en djbdns
Ransomware-aanvallen nemen toe, maar kan AI helpen het nieuwste computervirus het hoofd te bieden? Is AI het antwoord? Lees hier weten is AI boezem of vloek
ReactOS, een open source en gratis besturingssysteem is hier met de nieuwste versie. Kan het voldoen aan de behoeften van moderne Windows-gebruikers en Microsoft uitschakelen? Laten we meer te weten komen over deze oude stijl, maar een nieuwere OS-ervaring.
WhatsApp heeft eindelijk de Desktop-app voor Mac- en Windows-gebruikers gelanceerd. Nu heb je eenvoudig toegang tot WhatsApp vanuit Windows of Mac. Beschikbaar voor Windows 8+ en Mac OS 10.9+
Lees dit om te weten hoe kunstmatige intelligentie populair wordt onder de kleinschalige bedrijven en hoe het de kansen vergroot om ze te laten groeien en hun concurrenten voorsprong te geven.
Onlangs heeft Apple macOS Catalina 10.15.4 uitgebracht, een aanvullende update om problemen op te lossen, maar het lijkt erop dat de update meer problemen veroorzaakt die ertoe leiden dat mac-machines worden gemetseld. Lees dit artikel voor meer informatie
13 Commerciële data-extractietools voor big data
Onze computer slaat alle gegevens op een georganiseerde manier op, het zogenaamde Journaling-bestandssysteem. Het is een efficiënte methode waarmee de computer bestanden kan zoeken en weergeven zodra u op zoeken drukt.https://wethegeek.com/?p=94116&preview=true
Naarmate de wetenschap zich snel ontwikkelt en veel van onze inspanningen overneemt, nemen ook de risico's toe om onszelf te onderwerpen aan een onverklaarbare singulariteit. Lees, wat singulariteit voor ons kan betekenen.
Een inzicht in 26 Big Data-analysetechnieken: deel 1
AI in de zorg heeft de afgelopen decennia grote sprongen gemaakt. De toekomst van AI in de gezondheidszorg groeit dus nog steeds met de dag.
