AnyConnect是Cisco开发的远程访问解决方案。因其便携性和稳定性,尤其是其DTLS功能而闻名,AnyConnect被许多公司所使用。我们打算使用ocserv与协议兼容的开源版本。

我们也将部署证书验证。服务器将通过检查客户端证书是否由配置的CA颁发来识别客户端。这极大地简化了客户端的配置,因为我们只需要在客户端导入证书(大多数情况下是pkcs12文件(.pfx.p12))并且不需要密码。由于没有密码在互联网上传播,因此这也更安全。

开始吧。

先决条件

  • 一个启用了IPv6的新创建的CentOS 7服务器
  • 一个工作的计算机(可以是服务器本身;不赞成,但见下文)见注1
  • 安装有AnyConnect(或OpenConnect)客户端软件的某些客户端请参阅注2

笔记:

  1. 虽然在服务器上执行所有操作是可能的(也是相当方便的),但部署过程包括生成用于签名的私钥以及出于安全考虑,这个过程应该在您自己的计算机上完成。
  2. 由于许可问题,我不会提供下载客户端软件的链接。找到他们为您的客户是非常容易的。AnyConnect是主要移动平台(iOS,Android,BlackBerry OS(v10或更高版本),UWP)上应用程序商店中的应用程序,通过简单的搜索就可以找到。对于PC平台,一些谷歌搜索会为您提供合适的软件。

服务器端软件安装

Vultr的CentOS 7机器配置有EPEL存储库。我们只需安装ocservyum

yum update
yum install ocserv

我们需要一个服务器证书才能工作。如果您有域名,Let's Encrypt将是最简单的选择。

yum install certbot
certbot certonly

选择“启动临时Web服务器”以使用ACME CA进行身份验证。如果您没有域名,则稍后会发布自签名证书。

证书生成和配置

传统的PKI使用起来相当不方便,所以我们将使用easyrsaOpenVPN项目中的实用工具。在你的工作机器上安装git并克隆这个版本库:

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

我们将建立CA并颁发证书。执行以下操作并写出您在某处设置的PEM密码:

./easyrsa init-pki
./easyrsa build-ca

保持pki/private/ca.key安全的地方。泄漏将使您的整个基础设施无用。

如果您选择使用自签名服务器证书,请执行以下操作:

./easyrsa gen-req server

并输入您的服务器的IP地址作为通用名称。

./easyrsa sign-req server server

这将签署服务器的证书。转移pki/issued/server.crtpki/ca.crt/etc/ssl/certspki/private/server.key/etc/ssl/private您的服务器上。

接下来我们将创建客户端证书。请执行下列操作:

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

选择客户名称并将其填入通用名称字段。记住密码!

接下来,我们将导出pkcs12格式的证书,以便在移动平台上使用。做:

./easyrsa export-p12 client_01

选择在电话上导入证书时将提示您输入的导出密码。转移pki/private/client_01.p12到您的手机并导入。

配置服务器

我们将填写证书信息。

vim /etc/ocserv/ocserv.conf

找到server-cert部分并填写以下内容:

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

请注意,如果您使用的是自签名证书,请记得先删除密码,openssl rsa -in server.key -out server-new.key以便ocserv可以使用私钥。

找到auth部分。启用此行:

auth = "certificate"

并注释掉所有其他的auth行。

取消注释此行:

cert-user-oid = 2.5.4.3

找到ipv6-network并填写您的服务器的ipv6块。这是服务器将租用的块。

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

设置DNS服务器。

dns = 8.8.8.8
dns = 8.8.4.4

启用与思科客户端的兼容性

cisco-client-compat = true

打开您设置的端口,tcp-port然后udp-port在firewalld中为ipv4和ipv6启用伪装。

启动服务器。

systemctl enable ocserv
systemctl start ocserv

测试时间!

服务器已成功配置。在客户端创建一个连接并连接。如果出现问题,请使用以下命令进行调试:

journalctl -fu ocserv

另外,如果客户端软件支持ipv6,即使客户端的网络没有提供地址,IPv6也应该在客户端工作。去这个网站测试。

可以了,好了!享受你的新的AnyConnect兼容的VPN服务器!