Instalarea serverului VPC OpenConnect pentru Cisco AnyConnect pe Ubuntu 14.04 x64

• Instalarea ocserv
• Configurarea ocserv
• Porniți ocserv și conectați-vă folosind Cisco AnyConnect

Serverul OpenConnect, cunoscut și sub numele de ocserv, este un server VPN care comunică prin SSL. Prin proiectare, obiectivul său este de a deveni un server VPN sigur, ușor și rapid. Serverul OpenConnect utilizează protocolul VPC OpenConnect SSL. În momentul scrierii, de asemenea, are compatibilitate experimentală cu clienții care folosesc protocolul VPN AnyConnect SSL.

Acest articol vă va arăta cum instalați și configurați ocserv pe Ubuntu 14.04 x64.

Instalarea ocserv

Deoarece Ubuntu 14.04 nu este livrat cu ocserv, va trebui să descărcăm codul sursă și să-l compilăm. Cea mai recentă versiune stabilă de ocserv este 0.9.2.

Descarcă ocserv de pe site-ul oficial.

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

Apoi, instalați dependențele de compilare.

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

Compilați și instalați ocserv.

./configure
make
make install

Configurarea ocserv

Un director de fișier de configurare este plasat în director ocser-0.9.2/doc. Vom folosi acest fișier ca șablon. La început, trebuie să ne creăm propriul certificat CA și serverul certificat.

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

Creăm un fișier șablon CA ( ca.tmpl) cu conținut similar cu următoarele. Puteți seta propriul „cn” și „organizație”.

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

Apoi, generați o cheie CA și un certificat CA.

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

Apoi, creați un fișier de șablon de certificat de server local ( server.tmpl) cu conținutul de mai jos. Vă rugăm să acordați atenție câmpului „cn”, acesta trebuie să se potrivească cu numele DNS sau adresa IP a serverului dvs.

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

Apoi, generați cheia serverului și certificatul.

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

Copiați fișierul cheie, certificat și configurare în directorul de configurare ocserv.

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

Editați fișierul de configurare din sec /etc/ocserv. Decomandați sau modificați câmpurile descrise mai jos.

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

Generați un utilizator care va fi folosit pentru a vă conecta la ocserv.

ocpasswd -c /etc/ocserv/ocpasswd username

Activați NAT.

iptables -t nat -A POSTROUTING -j MASQUERADE

Activați redirecționarea IPv4. Editați fișierul /etc/sysctl.conf.

net.ipv4.ip_forward=1

Aplicați această modificare.

sysctl -p /etc/sysctl.conf

Porniți ocserv și conectați-vă folosind Cisco AnyConnect

În primul rând, începe ocserv.

ocserv -c /etc/ocserv/config

Apoi, instalați Cisco AnyConnect pe oricare dintre dispozitivele dvs., cum ar fi iPhone, iPad sau un dispozitiv Android. Deoarece am folosit o cheie și un certificat de server semnate cu sine, trebuie să debifăm opțiunea care împiedică serverele nesigure. Această opțiune este localizată în setările AnyConnect. În acest moment, putem configura o nouă conexiune cu numele de domeniu sau adresa IP a ocservului nostru și numele de utilizator / parola pe care am creat-o.

Conectați-vă și bucurați-vă!