Stel OpenConnect VPN Server in voor Cisco AnyConnect op Ubuntu 14.04 x64

• Ocserv installeren
• Ocserv configureren
• Start ocserv en maak verbinding met Cisco AnyConnect

OpenConnect-server, ook bekend als ocserv, is een VPN-server die communiceert via SSL. Het doel van het ontwerp is om een ​​veilige, lichtgewicht en snelle VPN-server te worden. De OpenConnect-server gebruikt het OpenConnect SSL VPN-protocol. Op het moment van schrijven heeft het ook experimentele compatibiliteit met clients die het AnyConnect SSL VPN-protocol gebruiken.

Dit artikel laat zien hoe u ocserv installeert en instelt op Ubuntu 14.04 x64.

Ocserv installeren

Aangezien Ubuntu 14.04 niet met ocserv wordt geleverd, moeten we de broncode downloaden en compileren. De nieuwste stabiele versie van ocserv is 0.9.2.

Download ocserv van de officiële site.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Installeer vervolgens de compileerafhankelijkheden.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Compileer en installeer ocserv.

./configure
make
make install

Ocserv configureren

Onder de directory wordt een voorbeeldconfiguratiebestand geplaatst ocser-0.9.2/doc. We gebruiken dit bestand als sjabloon. Eerst moeten we ons eigen CA-certificaat en servercertificaat maken.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

We maken een CA-sjabloonbestand ( ca.tmpl) met de inhoud vergelijkbaar met het volgende. U kunt uw eigen "cn" en "organisatie" instellen.

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Genereer vervolgens een CA-sleutel en CA-certificaat.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Maak vervolgens een sjabloonbestand voor een lokaal servercertificaat ( server.tmpl) met de onderstaande inhoud. Let op het "cn" -veld, het moet overeenkomen met de DNS-naam of het IP-adres van uw server.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Genereer vervolgens de serversleutel en het certificaat.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Kopieer het sleutel-, certificaat- en configuratiebestand naar de ocserv-configuratiemap.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Bewerk het configuratiebestand onder /etc/ocserv. Maak een commentaar of wijzig de hieronder beschreven velden.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Genereer een gebruiker die zal worden gebruikt om in te loggen op ocserv.

ocpasswd -c /etc/ocserv/ocpasswd username

NAT inschakelen.

iptables -t nat -A POSTROUTING -j MASQUERADE

Schakel IPv4-doorsturen in. Bewerk het bestand /etc/sysctl.conf.

net.ipv4.ip_forward=1

Pas deze wijziging toe.

sysctl -p /etc/sysctl.conf

Start ocserv en maak verbinding met Cisco AnyConnect

Start eerst ocserv.

ocserv -c /etc/ocserv/config

Installeer vervolgens Cisco AnyConnect op al uw apparaten, zoals een iPhone, iPad of een Android-apparaat. Aangezien we een zelfondertekende serversleutel en certificaat hebben gebruikt, moeten we de optie uitschakelen die onveilige servers voorkomt. Deze optie bevindt zich in de instellingen van AnyConnect. Op dit moment kunnen we een nieuwe verbinding opzetten met de domeinnaam of het IP-adres van onze ocserv en de gebruikersnaam / het wachtwoord dat we hebben gemaakt.

Maak verbinding en geniet!