ตั้งค่า OpenConnect VPN Server สำหรับ Cisco AnyConnect บน Ubuntu 14.04 x64

• กำลังติดตั้ง ocserv
• การกำหนดค่า ocserv
• เริ่ม ocserv และเชื่อมต่อโดยใช้ Cisco AnyConnect

เซิร์ฟเวอร์ OpenConnect หรือที่เรียกว่า ocserv เป็นเซิร์ฟเวอร์ VPN ที่สื่อสารผ่าน SSL ด้วยการออกแบบเป้าหมายของมันคือการเป็นเซิร์ฟเวอร์ VPN ที่ปลอดภัยน้ำหนักเบาและรวดเร็ว เซิร์ฟเวอร์ OpenConnect ใช้โปรโตคอล Open VPN ของ SSL VPN ในขณะที่เขียนมันก็มีความเข้ากันได้ทดลองกับลูกค้าที่ใช้โปรโตคอล AnyConnect SSL VPN

บทความนี้จะแสดงวิธีการติดตั้งและตั้งค่า ocserv บน Ubuntu 14.04 x64

กำลังติดตั้ง ocserv

เนื่องจาก Ubuntu 14.04 ไม่ได้จัดส่งด้วย ocserv เราจะต้องดาวน์โหลดซอร์สโค้ดและรวบรวม ocserv เวอร์ชันเสถียรล่าสุดคือ 0.9.2

ดาวน์โหลด ocserv จากเว็บไซต์ทางการ

wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.9.2.tar.xz
tar -xf ocserv-0.9.2.tar.xz
cd ocserv-0.9.2

ถัดไปติดตั้งการพึ่งพาการคอมไพล์

apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev

รวบรวมและติดตั้ง ocserv

./configure
make
make install

การกำหนดค่า ocserv

ตัวอย่างไฟล์ config ocser-0.9.2/docที่อยู่ภายใต้ไดเรกทอรี เราจะใช้ไฟล์นี้เป็นเทมเพลต ตอนแรกเราต้องทำใบรับรอง CA และใบรับรองเซิร์ฟเวอร์ของเราเอง

cd ~
apt-get install gnutls-bin
mkdir certificates
cd certificates

เราสร้างไฟล์เท็มเพลต CA ( ca.tmpl) ที่มีเนื้อหาคล้ายกับต่อไปนี้ คุณสามารถตั้งค่า "cn" และ "องค์กร" ของคุณเอง

cn = "VPN CA" 
organization = "Big Corp" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 

จากนั้นสร้างคีย์ CA และใบรับรอง CA

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

จากนั้นสร้างไฟล์เทมเพลตใบรับรองเซิร์ฟเวอร์ท้องถิ่น ( server.tmpl) พร้อมเนื้อหาด้านล่าง โปรดใส่ใจกับฟิลด์ "cn" ซึ่งจะต้องตรงกับชื่อ DNS หรือที่อยู่ IP ของเซิร์ฟเวอร์ของคุณ

cn = "you domain name or ip"
organization = "MyCompany" 
expiration_days = 3650 
signing_key 
encryption_key
tls_www_server

จากนั้นสร้างเซิร์ฟเวอร์คีย์และใบรับรอง

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

คัดลอกคีย์ใบรับรองและไฟล์กำหนดค่าไปยังไดเรกทอรี ocserv

mkdir /etc/ocserv
cp server-cert.pem server-key.pem /etc/ocserv
cd ~/ocserv-0.9.2/doc
cp sample.config /etc/ocserv/config
cd /etc/ocserv

แก้ไขไฟล์ config /etc/ocservภายใต้ ยกเลิกการใส่เครื่องหมายข้อคิดเห็นหรือแก้ไขฟิลด์ที่อธิบายด้านล่าง

auth = "plain[/etc/ocserv/ocpasswd]"

try-mtu-discovery = true

server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

dns = 8.8.8.8

# comment out all route fields
#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#no-route = 192.168.5.0/255.255.255.0

cisco-client-compat = true

สร้างผู้ใช้ที่จะใช้ในการเข้าสู่ระบบ ocserv

ocpasswd -c /etc/ocserv/ocpasswd username

เปิดใช้งาน NAT

iptables -t nat -A POSTROUTING -j MASQUERADE

เปิดใช้งานการส่งต่อ IPv4 /etc/sysctl.confแก้ไขไฟล์

net.ipv4.ip_forward=1

ใช้การปรับเปลี่ยนนี้

sysctl -p /etc/sysctl.conf

เริ่ม ocserv และเชื่อมต่อโดยใช้ Cisco AnyConnect

ก่อนอื่นให้เริ่มใช้ ocserv

ocserv -c /etc/ocserv/config

จากนั้นติดตั้ง Cisco AnyConnect บนอุปกรณ์ใด ๆ ของคุณเช่น iPhone, iPad หรืออุปกรณ์ Android เนื่องจากเราใช้คีย์เซิร์ฟเวอร์และใบรับรองที่ลงชื่อด้วยตนเองเราจึงต้องยกเลิกการเลือกตัวเลือกที่ป้องกันเซิร์ฟเวอร์ที่ไม่ปลอดภัย ตัวเลือกนี้อยู่ในการตั้งค่าของ AnyConnect ณ จุดนี้เราสามารถตั้งค่าการเชื่อมต่อใหม่ด้วยชื่อโดเมนหรือที่อยู่ IP ของ ocserv และชื่อผู้ใช้ / รหัสผ่านที่เราสร้างขึ้น

เชื่อมต่อและสนุก!