AnyConnect este o soluție de acces la distanță dezvoltată de Cisco. Cunoscut pentru portabilitatea și stabilitatea sa, în special pentru capacitatea DTLS, AnyConnect este utilizat de multe companii. Vom folosi o versiune open-source ocserv, care este compatibilă cu protocolul.
De asemenea, vom implementa verificarea certificatelor. Serverul va identifica clienții verificând dacă certificatul clientului este emis de CA configurat. Acest lucru simplifică foarte mult configurația pentru clienți, deoarece va trebui doar să importăm certificatul pe client (de cele mai multe ori un fișier pkcs12 ( .pfxsau .p12)) și nu sunt necesare parole. Acest lucru este, de asemenea, mai sigur, deoarece nicio parolă nu călătorește pe Internet.
Să începem.
Note:
Deși este posibil (și destul de convenabil) să faci totul pe server, procesul de implementare constă în generarea cheilor private utilizate pentru semnare și din cauza problemelor de securitate, acest proces ar trebui să fie făcut pe propriul computer.
Din cauza problemelor de licențiere, nu voi oferi link-uri pentru a descărca software-ul client. Găsirea lor pentru clientul dvs. este destul de ușoară. AnyConnect este o aplicație din Magazinele de aplicații de pe platformele mobile majore (iOS, Android, BlackBerry OS (v10 sau versiunea superioară), respectiv UWP) și o simplă căutare le va aduce la tine. Pentru platformele de calculatoare, unele Googling vă vor oferi software-ul adecvat.
Aparatul CentOS 7 al Vultr este configurat cu depozitul EPEL. Instalăm doar ocservcu yum:
yum update
yum install ocserv
Avem nevoie de un certificat de server pentru ca lucrurile să funcționeze. Dacă aveți un nume de domeniu, Let's Encrypt va fi cea mai ușoară alegere.
yum install certbot
certbot certonly
Alegeți „rotiți un server Web temporar” pentru a vă autentifica cu ACME CA. Dacă nu aveți un domeniu, un certificat auto-semnat va fi emis ulterior.
PKI tradițional este destul de incomod de utilizat, așa că vom folosi easyrsautilitarul din proiectul OpenVPN. Instalați git pe mașina dvs. de lucru și clonați depozitul:
git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3
Vom construi CA și vom emite certificate. Faceți următoarele și scrieți fraza de acces PEM pe care ați setat-o undeva:
./easyrsa init-pki
./easyrsa build-ca
Păstrați pki/private/ca.keyundeva în siguranță. Scurgeri care vă vor face inutilă întreaga infrastructură.
Dacă alegeți să utilizați un certificat de server semnat cu sine, faceți următoarele:
./easyrsa gen-req server
Și introduceți adresa IP a serverului dvs. ca nume obișnuit.
./easyrsa sign-req server server
Aceasta va semna un certificat pentru server. Transfer pki/issued/server.crtși pki/ca.crtcătre /etc/ssl/certsși pki/private/server.keycătre /etc/ssl/privateserverul dvs.
În continuare vom crea certificate de client. Urmează următoarele instrucțiuni:
./easyrsa gen-req client_01
./easyrsa sign-req client client_01
Alegeți un nume al clientului și completați-l în câmpul nume comun. Amintiți-vă fraza!
În continuare vom exporta certificatul în format pkcs12 pentru utilizare pe platforme mobile. Do:
./easyrsa export-p12 client_01
Alegeți o parolă de export pe care vi se va solicita să o introduceți atunci când importați certificatul pe telefon. Transferați pki/private/client_01.p12pe telefonul dvs. și importați-l.
Vom completa informațiile despre certificat.
vim /etc/ocserv/ocserv.conf
Localizați server-certsecțiunea și completați următoarele:
# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem
# If you use self-signed server certificate
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key
ca-cert = /etc/ssl/certs/ca.crt
Rețineți că, dacă utilizați un certificat auto-semnat, nu uitați să eliminați mai întâi parola, openssl rsa -in server.key -out server-new.keyastfel încât să ocservputeți utiliza cheia privată.
Localizați authsecțiunea. Activați această linie:
auth = "certificate"
Și comentați toate celelalte authrânduri.
Nu respectați această linie:
cert-user-oid = 2.5.4.3
Localizați ipv6-networkși completați blocul ipv6 al serverului dvs. Acesta este blocul din care serverul va da închirieri.
ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124
Setați servere DNS.
dns = 8.8.8.8
dns = 8.8.4.4
Activați compatibilitatea cu clienții Cisco.
cisco-client-compat = true
Deschideți porturile setați în tcp-portși udp-portși să permită Masquerade atât IPv4 și IPv6 în firewalld.
Porniți serverul.
systemctl enable ocserv
systemctl start ocserv
Serverul a fost configurat cu succes. Creați o conexiune în clientul dvs. și conectați-vă. Dacă lucrurile nu merg bine, folosiți această comandă pentru a depana:
journalctl -fu ocserv
De asemenea, IPv6 ar trebui să funcționeze pe partea clientului, dacă software-ul dvs. client acceptă ipv6, chiar dacă rețeaua clientului dvs. nu vă oferă o adresă. Accesați acest site pentru a testa.
Toate setate! Bucurați-vă de noul dvs. server VPN compatibil AnyConnect!
Introducere RethinkDB este o bază de date NoSQL care stochează date sub formă de documente JSON. Are un limbaj de interogare super intuitiv și are funcții disponibile în mod obișnuit
În anumite ocazii, este posibil ca un administrator de sistem să aibă nevoie să creeze un cont de utilizator și să restricționeze accesul acestora la gestionarea propriilor fișiere prin sFTP, dar nu b
Folosind un sistem diferit? NGINX poate fi utilizat ca server HTTP / HTTPS, server proxy invers, server proxy de poștă, echilibrator de sarcină, terminator TLS sau cachin
Folosind un sistem diferit? Chamilo este un sistem gratuit și deschis de management al învățării (LMS), care este utilizat pe scară largă pentru educația online și colaborarea în echipă
Odoo, cunoscută anterior drept OpenERP, este o cunoscută platformă de afaceri ERP open source. Întreprinderile de orice dimensiune pot beneficia de Odoo, datorită licenței sale abundente
Folosind un sistem diferit? Couch CMS este un sistem de gestionare a conținutului (CMS) simplu și flexibil, gratuit și deschis, care permite proiectanților web să deseneze
Folosind un sistem diferit? SonarQube este un instrument open source pentru dezvoltarea sistemului de calitate. Este scris în Java și acceptă mai multe baze de date. Oferă
NextCloud, așa cum sugerează și numele său, este o alternativă promițătoare a unei alte soluții de hosting de fișiere open source OwnCloud. În acest articol, vă voi arăta
Folosind un sistem diferit? Netdata este o stea în creștere în domeniul monitorizării în timp real a metricilor sistemului. Comparativ cu alte instrumente de același fel, Netdata:
Folosind un sistem diferit? În acest tutorial, voi explica cum să configurați un server Starbound pe CentOS 7. Condiții preliminare Trebuie să dețineți acest joc pe dvs.
Bine ați venit la un alt tutorial Vultr. Aici, veți învăța cum să instalați și să rulați un server SAMP. Acest ghid a fost scris pentru CentOS 6. Condiții preliminare pe care le veți obține
Folosind un sistem diferit? Elgg este un motor de rețea socială open source care permite crearea de medii sociale, cum ar fi rețelele sociale din campus
RStudio Server este ediția web a RStudio care este o serie de instrumente concepute pentru a facilita munca de codare folosind limbajul de programare R. În ti
Bolt este un CMS open source scris în PHP. Codul sursă Bolts este găzduit pe GitHub. Acest ghid vă va arăta cum instalați Bolt CMS pe un nou CentOS 7 Vult
Bugzilla este un sistem gratuit și open source de urmărire a erorilor, care este utilizat pe scară largă de diverși furnizori pentru a-și îmbunătăți continuu softwar-ul
Prezentare generală Acest articol este menit să vă ajute să obțineți un cluster Kubernetes și să funcționeze cu kubeadm în cel mai scurt timp. Acest ghid va implementa două servere, pe
Folosind un sistem diferit? Introducere Sails.js este un cadru MVC pentru Node.js, similar cu Ruby on Rails. Face pentru dezvoltarea aplicațiilor moderne ver
Funcțiile Vultrs Adu-ți spațiul IP permite o libertate fără precedent în alocarea propriilor resurse IP serverelor din norul Vultr. Noi generall
Acest tutorial va acoperi procesul de instalare a unui server de joc Half Life 2 pe CentOS 6 System. Pasul 1: Instalarea condițiilor preliminare Pentru a configura ou
Introducere Sistemele Linux sunt livrate cu instrumente de monitorizare în mod implicit, cum ar fi top, df și du care ajută la monitorizarea proceselor și a spațiului pe disc. De multe ori însă, acestea sunt
O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1
Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.
Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.
Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.
Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.
CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?
Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.
Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!
Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.
Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe
