AnyConnect是Cisco开发的远程访问解决方案。因其便携性和稳定性，尤其是其DTLS功能而闻名，AnyConnect被许多公司所使用。我们打算使用ocserv与协议兼容的开源版本。

我们也将部署证书验证。服务器将通过检查客户端证书是否由配置的CA颁发来识别客户端。这极大地简化了客户端的配置，因为我们只需要在客户端导入证书（大多数情况下是pkcs12文件（.pfx或.p12））并且不需要密码。由于没有密码在互联网上传播，因此这也更安全。

开始吧。

先决条件

• 一个启用了IPv6的新创建的CentOS 7服务器
• 一个工作的计算机（可以是服务器本身;不赞成，但见下文）见注1
• 安装有AnyConnect（或OpenConnect）客户端软件的某些客户端请参阅注2

笔记：

1. 虽然在服务器上执行所有操作是可能的（也是相当方便的），但部署过程包括生成用于签名的私钥以及出于安全考虑，这个过程应该在您自己的计算机上完成。
2. 由于许可问题，我不会提供下载客户端软件的链接。找到他们为您的客户是非常容易的。AnyConnect是主要移动平台（iOS，Android，BlackBerry OS（v10或更高版本），UWP）上应用程序商店中的应用程序，通过简单的搜索就可以找到。对于PC平台，一些谷歌搜索会为您提供合适的软件。

服务器端软件安装

Vultr的CentOS 7机器配置有EPEL存储库。我们只需安装ocserv有yum：

yum update
yum install ocserv

我们需要一个服务器证书才能工作。如果您有域名，Let's Encrypt将是最简单的选择。

yum install certbot
certbot certonly

选择“启动临时Web服务器”以使用ACME CA进行身份验证。如果您没有域名，则稍后会发布自签名证书。

证书生成和配置

传统的PKI使用起来相当不方便，所以我们将使用easyrsaOpenVPN项目中的实用工具。在你的工作机器上安装git并克隆这个版本库：

git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3

我们将建立CA并颁发证书。执行以下操作并写出您在某处设置的PEM密码：

./easyrsa init-pki
./easyrsa build-ca

保持pki/private/ca.key安全的地方。泄漏将使您的整个基础设施无用。

如果您选择使用自签名服务器证书，请执行以下操作：

./easyrsa gen-req server

并输入您的服务器的IP地址作为通用名称。

./easyrsa sign-req server server

这将签署服务器的证书。转移pki/issued/server.crt和pki/ca.crt对/etc/ssl/certs和pki/private/server.key对/etc/ssl/private您的服务器上。

接下来我们将创建客户端证书。请执行下列操作：

./easyrsa gen-req client_01
./easyrsa sign-req client client_01

选择客户名称并将其填入通用名称字段。记住密码！

接下来，我们将导出pkcs12格式的证书，以便在移动平台上使用。做：

./easyrsa export-p12 client_01

选择在电话上导入证书时将提示您输入的导出密码。转移pki/private/client_01.p12到您的手机并导入。

配置服务器

我们将填写证书信息。

vim /etc/ocserv/ocserv.conf

找到server-cert部分并填写以下内容：

# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem

# If you use self-signed server certificate 
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key

ca-cert = /etc/ssl/certs/ca.crt

请注意，如果您使用的是自签名证书，请记得先删除密码，openssl rsa -in server.key -out server-new.key以便ocserv可以使用私钥。

找到auth部分。启用此行：

auth = "certificate"

并注释掉所有其他的auth行。

取消注释此行：

cert-user-oid = 2.5.4.3

找到ipv6-network并填写您的服务器的ipv6块。这是服务器将租用的块。

ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124 

设置DNS服务器。

dns = 8.8.8.8
dns = 8.8.4.4

启用与思科客户端的兼容性

cisco-client-compat = true

打开您设置的端口，tcp-port然后udp-port在firewalld中为ipv4和ipv6启用伪装。

启动服务器。

systemctl enable ocserv
systemctl start ocserv

测试时间！

服务器已成功配置。在客户端创建一个连接并连接。如果出现问题，请使用以下命令进行调试：

journalctl -fu ocserv

另外，如果客户端软件支持ipv6，即使客户端的网络没有提供地址，IPv6也应该在客户端工作。去这个网站测试。

可以了，好了！享受你的新的AnyConnect兼容的VPN服务器！