在 CentOS 7 上搭建 Cisco AnyConnect ocserv

@

目录

• • 1. 安装 ocserv (OpenConnect server)
  • 2.生成证书
    • 1) 创建工作文件夹
    • 2) 生成 CA 证书
    • 3) 生成本地服务器证书
    • 4) 生成客户端证书(不生成)
  • 3. 配置 ocserv
  • 4.创建用户
  • 5.配置系统设置
    • 1) 开启内核转发
    • 2) 配置iptables规则(不需要配置)
    • 3) 放行端口(必须配置)
  • 6.测试
• Tips:

1. 安装 ocserv (OpenConnect server)

ocserv 是一个 OpenConnect SSL VPN 协议服务端，0.3.0 版后兼容使用 AnyConnect SSL VPN 协议的终端。
官方主页：http://www.infradead.org/ocserv/

ocserv 已经在 epel 仓库中提供了，所以可以直接通过 yum 安装

yum install epel-releaseyum install ocserv

2.生成证书

阅读官方文档

1) 创建工作文件夹

mkdir /opt/anyconnectcd /opt/anyconnect/

2) 生成 CA 证书

certtool --generate-privkey --outfile ca-key.pem

cat >ca.tmpl <<EOFcn = "VPN CA"organization = "Big Corp"serial = 1expiration_days = 3650casigning_keycert_signing_keycrl_signing_keyEOF

certtool --generate-self-signed --load-privkey ca-key.pem \--template ca.tmpl --outfile ca-cert.pem

把生成的 ca-cert.pem 放到 /etc/ocserv/ 中

cp ca-key.pem /etc/ocserv/

3) 生成本地服务器证书

certtool --generate-privkey --outfile server-key.pem

cat >server.tmpl <<EOFcn = "VPN server"organization = "MyCompany"serial = 2expiration_days = 3650encryption_keysigning_keytls_www_serverEOF

certtool --generate-certificate --load-privkey server-key.pem \--load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem \--template server.tmpl --outfile server-cert.pem

把生成的 server-cert.pem 和 server-key.pem 放到 /etc/ocserv/ 中

cp server-cert.pem server-key.pem /etc/ocserv/

4) 生成客户端证书(不生成)
3. 配置 ocserv

vim /etc/ocserv/ocserv.conf# 使用密码登录注释掉#auth = "pam"auth = "plain[/etc/ocserv/ocpasswd]"# 端口 TCP and UDP port numbertcp-port = 443udp-port = 443# 证书地址server-cert = /etc/ocserv/server-cert.pemserver-key = /etc/ocserv/server-key.pem# 取消注释设置客户端IP段ipv4-network = 192.168.111.0ipv4-netmask = 255.255.255.0# 取消注释设置客户端DNSdns = 114.114.114.114# 必须配置一个自己连接的VPN服务器IP段，允许访问下面的网段route = 192.168.0.0/255.255.0.0

4.创建用户

#username为你要添加的用户名ocpasswd -c /etc/ocserv/ocpasswd username

5.配置系统设置1) 开启内核转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.confsysctl -p

2) 配置iptables规则(不需要配置)

# 对指定的表 table 进行操作，添加一个规则，把192.168.111.0的流量指定到ens36出去iptables -t nat -A POSTROUTING -s 192.168.111.0 -o ens36 -j MASQUERADEiptables -A FORWARD -i vpns+ -j ACCEPTiptables -A FORWARD -o vpns+ -j ACCEPT# 保存路由表iptables-save > /etc/sysconfig/iptables

3) 放行端口(必须配置)

firewall-cmd --permanent --add-port=443/tcpfirewall-cmd --permanent --add-port=443/udpfirewall-cmd --add-masquerade --permanent #必须配置，重要firewall-cmd --reload

6.测试

现在我们可以开启服务器试试了

ocserv -c /etc/ocserv/ocserv.conf -f -d 10

如果没有问题，那么就可以配置成开机运行了

systemctl enable ocservsystemctl start ocserv

Tips:

注意：一定要配置route=VPN自己的IP段，否则连接VPN后无法访问VPN服务器

#ocserv支持多种认证方式，这是自带的密码认证，使用ocpasswd创建密码文件#ocserv还支持证书认证，可以通过Pluggable Authentication Modules (PAM)使用radius等认证方式auth = "plain[passwd=/etc/ocserv/ocpasswd]"#指定替代的登录方式，这里使用证书登录作为第二种登录方式enable-auth = "certificate"#证书路径server-cert = /etc/ocserv/server-cert.pemserver-key = /etc/ocserv/server-key.pem#ca路径ca-cert = /etc/ocserv/ca-cert.pem#从证书中提取用户名的方式，这里提取的是证书中的 CN 字段作为用户名cert-user-oid = 2.5.4.3#最大用户数量max-clients = 16#同一个用户最多同时登陆数max-same-clients = 10#tcp和udp端口tcp-port = 4433udp-port = 4433#运行用户和组run-as-user = ocservrun-as-group = ocserv#虚拟设备名称device = vpns#分配给VPN客户端的IP段ipv4-network = 10.12.0.0ipv4-netmask = 255.255.255.0#DNSdns = 8.8.8.8dns = 8.8.4.4#注释掉全部route的字段，这样表示所有流量都通过 VPN 发送#route = 192.168.1.0/255.255.255.0#route = 192.168.5.0/255.255.255.0#只允许访问下面的网段route = 192.168.0.0/255.255.0.0route = 172.16.0.0/255.255.0.0route = 120.79.158.102/255.255.255.255route = 120.79.166.14/255.255.255.255

# 采用账号密码方式认证auth = "plain[passwd=/etc/ocserv/ocpasswd]"# 设置服务器监听端口，默认的是443端口，但是会和https冲突，# 可以设置成任意不冲突的端口tcp-port = 4433udp-port = 4433# 程序以哪个用户和组运行run-as-user = ocservrun-as-group = ocserv# socket文件socket-file = /var/run/ocserv.sock# 默认证书配置server-cert = /etc/pki/ocserv/public/server.crtserver-key = /etc/pki/ocserv/private/server.key# 开启lz4压缩compression = true# 隔离工作，默认不动isolate-workers = true# 最大客户端数量，0表示无限数量max-clients = 16# 同一用户可以同时登陆的客户端数量max-same-clients = 5# 默认不动rate-limit-ms = 100# 服务器统计重置时间，不动server-stats-reset-time = 604800# 保持连接，每隔多少秒向客户端发送连接数据包，防止断线。# IOS系统5分钟会关闭后台数据通讯，然后就会断线。# 因此将keepalive和mobile-dpd设置成200秒keepalive = 200dpd = 90mobile-dpd = 200# udp端口无传输25秒后转成tcp端口switch-to-tcp-timeout = 25# 启用MTU转发以优化性能try-mtu-discovery = true# 空闲断开时间，如果想无限期连接，注释这两行# idle-timeout=1200# mobile-idle-timeout=2400# 仅使用TLS1.2以上版本cert-user-oid = 0.9.2342.19200300.100.1.1tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128:-VERS-TLS1.0:-VERS-TLS1.1"# 认证超时时间auth-timeout = 240# 最小重新认证时间min-reauth-time = 300max-ban-score = 80ban-reset-time = 1200cookie-timeout = 324000deny-roaming = falserekey-time = 172800rekey-method = ssluse-occtl = truepid-file = /var/run/ocserv.piddevice = vpnspredictable-ips = true# 默认域名，修改为你的域名或ip地址，这个设置没有任何作用default-domain = xxx.com:4433# 配置自定义私有IP地址范围，注释默认的两行#ipv4-network = 192.168.1.0#ipv4-netmask = 255.255.255.0ipv4-network = 10.70.25.0ipv4-netmask = 255.255.255.0# 以VPN隧道传输所有DNS查询tunnel-all-dns = true# 更改DNS服务器(国内服务器就填写国内dns)dns = 8.8.8.8dns = 1.1.1.1# 允许思科客户端连接cisco-client-compat = true# 以下路由表不通过VPN隧道，直接本地网络连接# 一定要添加自己服务器的ip地址，否则连上VPN后打不开自己的网站no-route = x.x.x.x / 255.255.255.255