Implantando o servidor VPN compatível com AnyConnect com verificação de certificado no CentOS 7

• Pré-requisitos
• Instalação de software do servidor
• Geração e configuração de certificado
• Configurando o servidor
• Tempo de teste!

AnyConnect é uma solução de acesso remoto desenvolvida pela Cisco. Conhecido por sua portabilidade e estabilidade, especialmente sua capacidade DTLS, o AnyConnect é usado por muitas empresas. Vamos usar uma versão de código aberto ocservcompatível com o protocolo.

Também vamos implantar a verificação de certificado. O servidor identificará os clientes, verificando se o certificado do cliente é emitido pela CA configurada. Isso simplifica bastante a configuração dos clientes, pois precisamos apenas importar o certificado no cliente (na maioria das vezes um arquivo pkcs12 ( .pfxou .p12)) e nenhuma senha é necessária. Isso também é mais seguro, já que nenhuma senha viaja pela Internet.

Vamos começar.

Pré-requisitos

• Um servidor CentOS 7 recém-criado com IPv6 ativado
• Um computador em funcionamento (pode ser o próprio servidor; porém, obsoleto (veja abaixo)), veja a nota 1
• Alguns clientes com o software cliente AnyConnect (ou OpenConnect) instalado, consulte a nota 2

Notas:

1. Embora seja possível (e bastante conveniente) fazer tudo no servidor, o processo de implantação consiste em gerar chaves privadas usadas para assinatura e devido a questões de segurança, esse processo deve ser feito no seu próprio computador.

2. Devido a problemas de licenciamento, não fornecerei links para baixar o software cliente. Encontrá-los para o seu cliente é bastante fácil. O AnyConnect é um aplicativo nas App Stores nas principais plataformas móveis (iOS, Android, BlackBerry OS (v10 ou superior), UWP), respectivamente, e uma simples pesquisa os levará até você. Para plataformas de PC, alguns usuários do Google apresentam o software adequado.

Instalação de software do servidor

As máquinas CentOS 7 do Vultr são configuradas com o repositório EPEL. Acabamos de instalar ocservcom yum:

yum update
yum install ocserv

Precisamos de um certificado de servidor para que as coisas funcionem. Se você tiver um nome de domínio, o Let's Encrypt será a escolha mais fácil.

yum install certbot
certbot certonly

Escolha "ativar um servidor da Web temporário" para autenticar com a ACME CA. Se você não possui um domínio, um certificado autoassinado será emitido posteriormente.

Geração e configuração de certificado

A PKI tradicional é bastante inconveniente de usar, portanto, usaremos o easyrsautilitário do projeto OpenVPN. Instale o git na sua máquina de trabalho e clone o repositório:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Criaremos a CA e emitiremos certificados. Faça o seguinte e escreva a senha do PEM que você definiu em algum lugar:

./easyrsa init-pki
./easyrsa build-ca

Mantenha em pki/private/ca.keyalgum lugar seguro. Vazamentos que tornarão toda a sua infraestrutura inútil.

Se você optar por usar um certificado de servidor autoassinado, faça o seguinte:

./easyrsa gen-req server

E insira o endereço IP do seu servidor como o nome comum.

./easyrsa sign-req server server

Isso assinará um certificado para o servidor. Transfira pki/issued/server.crte pki/ca.crtpara /etc/ssl/certse pki/private/server.keypara o /etc/ssl/privateseu servidor.

Em seguida, criaremos certificados de cliente. Faça o seguinte:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Escolha um nome do cliente e preencha-o no campo de nome comum. Lembre-se da frase secreta!

Em seguida, exportaremos o certificado no formato pkcs12 para uso em plataformas móveis. Faz:

./easyrsa export-p12 client_01

Escolha uma senha de exportação que você será solicitado a digitar ao importar o certificado no telefone. Transfira pki/private/client_01.p12para o seu telefone e importe-o.

Configurando o servidor

Nós preencheremos as informações do certificado.

vim /etc/ocserv/ocserv.conf

Localize a server-certseção e preencha o seguinte:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Observe que, se você estiver usando um certificado autoassinado, lembre-se de remover a frase secreta primeiro openssl rsa -in server.key -out server-new.keypara que ocservpossa usar a chave privada.

Localize a authseção. Ative esta linha:

auth = "certificate"

E comente todas as outras authlinhas.

Remova o comentário desta linha:

cert-user-oid = 2.5.4.3

Localize ipv6-networke preencha o bloco ipv6 do seu servidor. Esse é o bloco do qual o servidor concederá concessões.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Defina servidores DNS.

dns = 8.8.8.8
dns = 8.8.4.4

Habilite a compatibilidade com clientes Cisco.

cisco-client-compat = true

Abrir as portas definidas no tcp-porte udp-porte permitir mascarada tanto para IPv4 e IPv6 em firewalld.

Inicie o servidor.

systemctl enable ocserv
systemctl start ocserv

Tempo de teste!

O servidor foi configurado com sucesso. Crie uma conexão no seu cliente e conecte-se. Se tudo der errado, use este comando para depurar:

journalctl -fu ocserv

Além disso, o IPv6 deve funcionar no lado do cliente, se o software do cliente suportar o ipv6, mesmo que a rede do cliente não forneça um endereço. Vá para este site para testar.

Tudo pronto! Aproveite o seu novo servidor VPN compatível com AnyConnect!