AnyConnect compatibele VPN-server implementeren met certificaatverificatie op CentOS 7

• Vereisten
• Software-installatie aan serverzijde
• Certificaatgeneratie en configuratie
• De server configureren
• Test tijd!

AnyConnect is een oplossing voor externe toegang die is ontwikkeld door Cisco. Bekend om zijn draagbaarheid en stabiliteit, vooral zijn DTLS-capaciteit, wordt AnyConnect door veel bedrijven gebruikt. We gaan een open-source versie gebruiken ocserv, die compatibel is met het protocol.

We gaan ook certificaatverificatie inzetten. De server identificeert de clients door te controleren of het clientcertificaat wordt uitgegeven door de geconfigureerde CA. Dit vereenvoudigt de configuratie op clients aanzienlijk, omdat we het certificaat alleen op de client hoeven te importeren (meestal een pkcs12-bestand ( .pfxof .p12)) en geen wachtwoorden nodig zijn. Dit is ook veiliger omdat er geen wachtwoorden over het internet reizen.

Laten we beginnen.

Vereisten

• Een nieuw gecreëerde CentOS 7-server met IPv6 ingeschakeld
• Een werkende computer (kan de server zelf zijn; echter verouderd (zie hieronder)) zie opmerking 1
• Sommige clients waarop AnyConnect (of OpenConnect) -clientsoftware is geïnstalleerd, zie opmerking 2

Opmerkingen:

1. Hoewel het mogelijk (en redelijk handig) is om alles op de server te doen, bestaat het implementatieproces uit het genereren van privésleutels die worden gebruikt voor ondertekening en vanwege beveiligingsproblemen moet dit proces op uw eigen computer worden uitgevoerd.

2. Vanwege licentieproblemen zal ik geen links geven om de clientsoftware te downloaden. Het is echter vrij eenvoudig om ze voor uw klant te vinden. AnyConnect is een app in de App Stores op respectievelijk grote mobiele platforms (iOS, Android, BlackBerry OS (v10 of hoger), UWP) en een simpele zoekopdracht brengt ze naar je toe. Voor pc-platforms biedt sommige Googling u de geschikte software.

Software-installatie aan serverzijde

De CentOS 7-machines van Vultr zijn geconfigureerd met de EPEL-repository. We installeren gewoon ocservmet yum:

yum update
yum install ocserv

We hebben een servercertificaat nodig om te kunnen werken. Als u een domeinnaam heeft, is Let's Encrypt de gemakkelijkste keuze.

yum install certbot
certbot certonly

Kies "Spin a Temporary Web Server" om te verifiëren met ACME CA. Als u geen domein heeft, wordt later een zelfondertekend certificaat afgegeven.

Certificaatgeneratie en configuratie

De traditionele PKI is nogal onhandig om te gebruiken, dus we zullen het easyrsahulpprogramma van het OpenVPN-project gebruiken. Installeer git op uw werkende machine en kloon de repository:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

We gaan de CA bouwen en certificaten uitgeven. Doe het volgende en schrijf de PEM-wachtwoordzin die je ergens hebt ingesteld:

./easyrsa init-pki
./easyrsa build-ca

Bewaar pki/private/ca.keyergens veilig. Lekkage waardoor uw hele infrastructuur onbruikbaar wordt.

Als u ervoor kiest om een ​​zelfondertekend servercertificaat te gebruiken, doet u het volgende:

./easyrsa gen-req server

En voer het IP-adres van uw server in als de algemene naam.

./easyrsa sign-req server server

Hiermee wordt een certificaat voor de server ondertekend. Transfer pki/issued/server.crten pki/ca.crtvan /etc/ssl/certsen pki/private/server.keynaar /etc/ssl/privateop uw server.

Vervolgens maken we klantcertificaten. Doe het volgende:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Kies een naam van de klant en vul deze in het veld algemene naam in. Onthoud de wachtwoordzin!

Vervolgens gaan we het certificaat exporteren in pkcs12-indeling voor gebruik op mobiele platforms. Doen:

./easyrsa export-p12 client_01

Kies een exportwachtwoord dat u moet invoeren wanneer u het certificaat op de telefoon importeert. Breng over pki/private/client_01.p12naar uw telefoon en importeer deze.

De server configureren

We vullen de certificaatgegevens in.

vim /etc/ocserv/ocserv.conf

Zoek het server-certgedeelte en vul het volgende in:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Houd er rekening mee dat als u een zelfondertekend certificaat gebruikt, vergeet niet eerst de wachtwoordzin te verwijderen, openssl rsa -in server.key -out server-new.keyzodat ocservde privésleutel kan worden gebruikt.

Lokaliseer authsectie. Schakel deze regel in:

auth = "certificate"

En becommentarieer alle andere authregels.

Geef commentaar op deze regel:

cert-user-oid = 2.5.4.3

Zoek ipv6-networken vul het ipv6-blok van uw server in. Dit is het blok waarvan de server leasecontracten zal afgeven.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Stel DNS-servers in.

dns = 8.8.8.8
dns = 8.8.4.4

Compatibiliteit met Cisco-clients inschakelen.

cisco-client-compat = true

Open de poorten die u in te stellen tcp-porten udp-porten maken maskerade voor zowel IPv4 als IPv6 in firewalld.

Start de server.

systemctl enable ocserv
systemctl start ocserv

Test tijd!

De server is succesvol geconfigureerd. Maak een verbinding in uw klant en maak verbinding. Als er iets misgaat, gebruikt u deze opdracht om te debuggen:

journalctl -fu ocserv

IPv6 zou ook aan de clientkant moeten werken als uw clientsoftware ipv6 ondersteunt, zelfs als het netwerk van uw cliënt u geen adres geeft. Ga naar deze site om te testen.

Helemaal klaar! Geniet van uw nieuwe AnyConnect-compatibele VPN-server!