การปรับใช้เซิร์ฟเวอร์ VPN ที่ทำงานร่วมกันได้ AnyConnect ด้วยการตรวจสอบใบรับรองบน ​​CentOS 7

• ข้อกำหนดเบื้องต้น
• การติดตั้งซอฟต์แวร์ฝั่งเซิร์ฟเวอร์
• การสร้างและกำหนดค่าใบรับรอง
• การกำหนดค่าเซิร์ฟเวอร์
• ทดสอบเวลา!

AnyConnect เป็นโซลูชันการเข้าถึงระยะไกลที่พัฒนาโดย Cisco AnyConnect เป็นที่รู้จักกันดีในด้านความสะดวกในการพกพาและความเสถียรโดยเฉพาะอย่างยิ่งความสามารถ DTLS ของ AnyConnect เรากำลังจะใช้เวอร์ชั่นโอเพ่นซอร์สocservซึ่งเข้ากันได้กับโปรโตคอล

เราจะทำการปรับใช้การตรวจสอบใบรับรองด้วย เซิร์ฟเวอร์จะระบุลูกค้าโดยตรวจสอบว่าหากใบรับรองของลูกค้าออกโดย CA ที่กำหนดค่า สิ่งนี้ช่วยให้การกำหนดค่าไคลเอนต์ง่ายขึ้นอย่างมากเนื่องจากเราจะต้องนำเข้าใบรับรองบนไคลเอนต์ (ส่วนใหญ่ไฟล์ pkcs12 ( .pfxหรือ.p12)) และไม่จำเป็นต้องใช้รหัสผ่าน นอกจากนี้ยังมีความปลอดภัยมากขึ้นเนื่องจากไม่มีรหัสผ่านเดินทางผ่านอินเทอร์เน็ต

เริ่มกันเลย.

ข้อกำหนดเบื้องต้น

• เซิร์ฟเวอร์ CentOS 7 ที่เพิ่งสร้างใหม่ที่เปิดใช้งาน IPv6
• คอมพิวเตอร์ที่ใช้งานได้ (สามารถเป็นเซิร์ฟเวอร์เองได้เลิกใช้แล้ว (ดูด้านล่าง)) ดูหมายเหตุ 1
• ลูกค้าบางรายที่ติดตั้งซอฟต์แวร์ไคลเอ็นต์ AnyConnect (หรือ OpenConnect) ติดตั้งดูหมายเหตุ 2

หมายเหตุ:

1. แม้ว่าจะเป็นไปได้ (และค่อนข้างสะดวก) ในการทำทุกอย่างบนเซิร์ฟเวอร์กระบวนการปรับใช้ประกอบด้วยการสร้างคีย์ส่วนตัวที่ใช้สำหรับการเซ็นชื่อและเนื่องจากข้อกังวลด้านความปลอดภัยกระบวนการนี้ควรทำในคอมพิวเตอร์ของคุณเอง

2. เนื่องจากปัญหาสิทธิ์การใช้งานฉันจะไม่ให้ลิงก์เพื่อดาวน์โหลดซอฟต์แวร์ไคลเอ็นต์ การค้นหาสิ่งเหล่านี้ให้กับลูกค้าของคุณนั้นค่อนข้างง่าย AnyConnect เป็นแอพใน App Stores บนแพลตฟอร์มมือถือหลัก (iOS, Android, BlackBerry OS (v10 ขึ้นไป), UWP) ตามลำดับและการค้นหาง่าย ๆ จะนำมาให้คุณ สำหรับแพลตฟอร์มพีซี Googling จะนำเสนอซอฟต์แวร์ที่เหมาะสมให้คุณ

การติดตั้งซอฟต์แวร์ฝั่งเซิร์ฟเวอร์

เครื่อง CentOS 7 ของ Vultr ได้รับการกำหนดค่าด้วยที่เก็บ EPEL เราเพิ่งติดตั้งocservด้วยyum:

yum update
yum install ocserv

เราจะต้องมีใบรับรองเซิร์ฟเวอร์เพื่อให้สิ่งต่างๆใช้งานได้ หากคุณมีชื่อโดเมน Let's Encrypt จะเป็นตัวเลือกที่ง่ายที่สุด

yum install certbot
certbot certonly

เลือก "หมุนเว็บเซิร์ฟเวอร์ชั่วคราว" เพื่อตรวจสอบสิทธิ์ด้วย ACME CA หากคุณไม่มีโดเมนใบรับรองที่ลงนามเองจะถูกออกให้ในภายหลัง

การสร้างและกำหนดค่าใบรับรอง

PKI ดั้งเดิมค่อนข้างไม่สะดวกในการใช้ดังนั้นเราจะใช้easyrsaยูทิลิตีจากโครงการ OpenVPN ติดตั้ง git บนเครื่องที่ทำงานของคุณและโคลนที่เก็บ:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

เราจะสร้าง CA และออกใบรับรอง ทำสิ่งต่อไปนี้และเขียนข้อความรหัสผ่าน PEM ที่คุณตั้งไว้ที่ไหนสักแห่ง:

./easyrsa init-pki
./easyrsa build-ca

รักษาpki/private/ca.keyความปลอดภัย การรั่วไหลที่จะทำให้โครงสร้างพื้นฐานทั้งหมดของคุณไร้ประโยชน์

หากคุณเลือกที่จะใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามเองให้ทำดังต่อไปนี้:

./easyrsa gen-req server

และป้อนที่อยู่ IP ของเซิร์ฟเวอร์ของคุณเป็นชื่อสามัญ

./easyrsa sign-req server server

สิ่งนี้จะลงนามใบรับรองสำหรับเซิร์ฟเวอร์ การถ่ายโอนpki/issued/server.crtและpki/ca.crtการ/etc/ssl/certsและpki/private/server.keyการ/etc/ssl/privateบนเซิร์ฟเวอร์ของคุณ

ต่อไปเราจะสร้างใบรับรองลูกค้า ทำดังต่อไปนี้:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

เลือกชื่อลูกค้าและกรอกลงในช่องชื่อทั่วไป จำข้อความรหัสผ่าน!

ต่อไปเราจะส่งออกใบรับรองในรูปแบบ pkcs12 สำหรับการใช้งานบนแพลตฟอร์มมือถือ ทำ:

./easyrsa export-p12 client_01

เลือกรหัสผ่านการส่งออกซึ่งคุณจะได้รับแจ้งให้ป้อนเมื่อนำเข้าใบรับรองทางโทรศัพท์ ถ่ายโอนpki/private/client_01.p12ไปยังโทรศัพท์ของคุณและนำเข้า

การกำหนดค่าเซิร์ฟเวอร์

เราจะกรอกข้อมูลใบรับรอง

vim /etc/ocserv/ocserv.conf

ค้นหาserver-certส่วนและกรอกข้อมูลต่อไปนี้:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

โปรดทราบว่าหากคุณใช้ใบรับรองที่ลงชื่อด้วยตนเองอย่าลืมลบวลีรหัสผ่านก่อนopenssl rsa -in server.key -out server-new.keyเพื่อให้ocservสามารถใช้คีย์ส่วนตัว

ค้นหาauthส่วน เปิดใช้งานบรรทัดนี้:

auth = "certificate"

และคอมเม้นท์authสายอื่น ๆ ทั้งหมด

ยกเลิกการใส่เครื่องหมายบรรทัดนี้:

cert-user-oid = 2.5.4.3

ค้นหาipv6-networkและเติมในบล็อก ipv6 ของเซิร์ฟเวอร์ของคุณ นี่คือบล็อกที่เซิร์ฟเวอร์จะให้เช่า

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

ตั้งค่าเซิร์ฟเวอร์ DNS

dns = 8.8.8.8
dns = 8.8.4.4

เปิดใช้งานความเข้ากันได้กับไคลเอนต์ Cisco

cisco-client-compat = true

เปิดพอร์ตที่คุณตั้งไว้ในtcp-portและudp-portและเปิดใช้งานสวมหน้ากากสำหรับทั้ง IPv4 และ IPv6 ใน firewalld

เริ่มต้นเซิร์ฟเวอร์

systemctl enable ocserv
systemctl start ocserv

ทดสอบเวลา!

เซิร์ฟเวอร์ได้รับการกำหนดค่าเรียบร้อยแล้ว สร้างการเชื่อมต่อในไคลเอนต์ของคุณและเชื่อมต่อ หากสิ่งผิดปกติให้ใช้คำสั่งนี้เพื่อแก้ไขข้อบกพร่อง:

journalctl -fu ocserv

นอกจากนี้ IPv6 ควรทำงานกับฝั่งไคลเอ็นต์หากซอฟต์แวร์ไคลเอ็นต์ของคุณรองรับ ipv6 แม้ว่าเครือข่ายของลูกค้าจะไม่ให้ที่อยู่แก่คุณ ไปที่ไซต์นี้เพื่อทดสอบ

ทุกชุด! เพลิดเพลินกับเซิร์ฟเวอร์ VPN AnyConnect ที่ใช้งานร่วมกันได้ใหม่ของคุณ!