Implementarea serverului VPN compatibil AnyConnect cu verificarea certificatului pe CentOS 7

• Cerințe preliminare
• Instalarea software-ului pe server
• Generare și configurare certificat
• Configurarea serverului
• Timpul testului!

AnyConnect este o soluție de acces la distanță dezvoltată de Cisco. Cunoscut pentru portabilitatea și stabilitatea sa, în special pentru capacitatea DTLS, AnyConnect este utilizat de multe companii. Vom folosi o versiune open-source ocserv, care este compatibilă cu protocolul.

De asemenea, vom implementa verificarea certificatelor. Serverul va identifica clienții verificând dacă certificatul clientului este emis de CA configurat. Acest lucru simplifică foarte mult configurația pentru clienți, deoarece va trebui doar să importăm certificatul pe client (de cele mai multe ori un fișier pkcs12 ( .pfxsau .p12)) și nu sunt necesare parole. Acest lucru este, de asemenea, mai sigur, deoarece nicio parolă nu călătorește pe Internet.

Să începem.

Cerințe preliminare

• Un server CentOS 7 recent creat, cu IPv6 activat
• Un computer de lucru (poate fi serverul în sine; totuși, depășit (vezi mai jos)), vezi nota 1
• Unii clienți cu software client AnyConnect (sau OpenConnect) instalat a se vedea nota 2

Note:

1. Deși este posibil (și destul de convenabil) să faci totul pe server, procesul de implementare constă în generarea cheilor private utilizate pentru semnare și din cauza problemelor de securitate, acest proces ar trebui să fie făcut pe propriul computer.

2. Din cauza problemelor de licențiere, nu voi oferi link-uri pentru a descărca software-ul client. Găsirea lor pentru clientul dvs. este destul de ușoară. AnyConnect este o aplicație din Magazinele de aplicații de pe platformele mobile majore (iOS, Android, BlackBerry OS (v10 sau versiunea superioară), respectiv UWP) și o simplă căutare le va aduce la tine. Pentru platformele de calculatoare, unele Googling vă vor oferi software-ul adecvat.

Instalarea software-ului pe server

Aparatul CentOS 7 al Vultr este configurat cu depozitul EPEL. Instalăm doar ocservcu yum:

yum update
yum install ocserv

Avem nevoie de un certificat de server pentru ca lucrurile să funcționeze. Dacă aveți un nume de domeniu, Let's Encrypt va fi cea mai ușoară alegere.

yum install certbot
certbot certonly

Alegeți „rotiți un server Web temporar” pentru a vă autentifica cu ACME CA. Dacă nu aveți un domeniu, un certificat auto-semnat va fi emis ulterior.

Generare și configurare certificat

PKI tradițional este destul de incomod de utilizat, așa că vom folosi easyrsautilitarul din proiectul OpenVPN. Instalați git pe mașina dvs. de lucru și clonați depozitul:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

Vom construi CA și vom emite certificate. Faceți următoarele și scrieți fraza de acces PEM pe care ați setat-o ​​undeva:

./easyrsa init-pki
./easyrsa build-ca

Păstrați pki/private/ca.keyundeva în siguranță. Scurgeri care vă vor face inutilă întreaga infrastructură.

Dacă alegeți să utilizați un certificat de server semnat cu sine, faceți următoarele:

./easyrsa gen-req server

Și introduceți adresa IP a serverului dvs. ca nume obișnuit.

./easyrsa sign-req server server

Aceasta va semna un certificat pentru server. Transfer pki/issued/server.crtși pki/ca.crtcătre /etc/ssl/certsși pki/private/server.keycătre /etc/ssl/privateserverul dvs.

În continuare vom crea certificate de client. Urmează următoarele instrucțiuni:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

Alegeți un nume al clientului și completați-l în câmpul nume comun. Amintiți-vă fraza!

În continuare vom exporta certificatul în format pkcs12 pentru utilizare pe platforme mobile. Do:

./easyrsa export-p12 client_01

Alegeți o parolă de export pe care vi se va solicita să o introduceți atunci când importați certificatul pe telefon. Transferați pki/private/client_01.p12pe telefonul dvs. și importați-l.

Configurarea serverului

Vom completa informațiile despre certificat.

vim /etc/ocserv/ocserv.conf

Localizați server-certsecțiunea și completați următoarele:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

Rețineți că, dacă utilizați un certificat auto-semnat, nu uitați să eliminați mai întâi parola, openssl rsa -in server.key -out server-new.keyastfel încât să ocservputeți utiliza cheia privată.

Localizați authsecțiunea. Activați această linie:

auth = "certificate"

Și comentați toate celelalte authrânduri.

Nu respectați această linie:

cert-user-oid = 2.5.4.3

Localizați ipv6-networkși completați blocul ipv6 al serverului dvs. Acesta este blocul din care serverul va da închirieri.

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

Setați servere DNS.

dns = 8.8.8.8
dns = 8.8.4.4

Activați compatibilitatea cu clienții Cisco.

cisco-client-compat = true

Deschideți porturile setați în tcp-portși udp-portși să permită Masquerade atât IPv4 și IPv6 în firewalld.

Porniți serverul.

systemctl enable ocserv
systemctl start ocserv

Timpul testului!

Serverul a fost configurat cu succes. Creați o conexiune în clientul dvs. și conectați-vă. Dacă lucrurile nu merg bine, folosiți această comandă pentru a depana:

journalctl -fu ocserv

De asemenea, IPv6 ar trebui să funcționeze pe partea clientului, dacă software-ul dvs. client acceptă ipv6, chiar dacă rețeaua clientului dvs. nu vă oferă o adresă. Accesați acest site pentru a testa.

Toate setate! Bucurați-vă de noul dvs. server VPN compatibil AnyConnect!