AnyConnect是Cisco开发的远程访问解决方案。因其便携性和稳定性,尤其是其DTLS功能而闻名,AnyConnect被许多公司所使用。我们打算使用ocserv与协议兼容的开源版本。

我们也将部署证书验证。服务器将通过检查客户端证书是否由配置的CA颁发来识别客户端。这极大地简化了客户端的配置,因为我们只需要在客户端导入证书(大多数情况下是pkcs12文件(.pfx.p12))并且不需要密码。由于没有密码在互联网上传播,因此这也更安全。

开始吧。

先决条件

  • 一个启用了IPv6的新创建的CentOS 7服务器
  • 一个工作的计算机(可以是服务器本身;不赞成,但见下文)见注1
  • 安装有AnyConnect(或OpenConnect)客户端软件的某些客户端请参阅注2

笔记:

  1. 虽然在服务器上执行所有操作是可能的(也是相当方便的),但部署过程包括生成用于签名的私钥以及出于安全考虑,这个过程应该在您自己的计算机上完成。
  2. 由于许可问题,我不会提供下载客户端软件的链接。找到他们为您的客户是非常容易的。AnyConnect是主要移动平台(iOS,Android,BlackBerry OS(v10或更高版本),UWP)上应用程序商店中的应用程序,通过简单的搜索就可以找到。对于PC平台,一些谷歌搜索会为您提供合适的软件。

服务器端软件安装

Vultr的CentOS 7机器配置有EPEL存储库。我们只需安装ocservyum

我们需要一个服务器证书才能工作。如果您有域名,Let’s Encrypt将是最简单的选择。

选择“启动临时Web服务器”以使用ACME CA进行身份验证。如果您没有域名,则稍后会发布自签名证书。

证书生成和配置

传统的PKI使用起来相当不方便,所以我们将使用easyrsaOpenVPN项目中的实用工具。在你的工作机器上安装git并克隆这个版本库:

我们将建立CA并颁发证书。执行以下操作并写出您在某处设置的PEM密码:

保持pki/private/ca.key安全的地方。泄漏将使您的整个基础设施无用。

如果您选择使用自签名服务器证书,请执行以下操作:

并输入您的服务器的IP地址作为通用名称。

这将签署服务器的证书。转移pki/issued/server.crtpki/ca.crt/etc/ssl/certspki/private/server.key/etc/ssl/private您的服务器上。

接下来我们将创建客户端证书。请执行下列操作:

选择客户名称并将其填入通用名称字段。记住密码!

接下来,我们将导出pkcs12格式的证书,以便在移动平台上使用。做:

选择在电话上导入证书时将提示您输入的导出密码。转移pki/private/client_01.p12到您的手机并导入。

配置服务器

我们将填写证书信息。

找到server-cert部分并填写以下内容:

请注意,如果您使用的是自签名证书,请记得先删除密码,openssl rsa -in server.key -out server-new.key以便ocserv可以使用私钥。

找到auth部分。启用此行:

并注释掉所有其他的auth行。

取消注释此行:

找到ipv6-network并填写您的服务器的ipv6块。这是服务器将租用的块。

设置DNS服务器。

启用与思科客户端的兼容性

打开您设置的端口,tcp-port然后udp-port在firewalld中为ipv4和ipv6启用伪装。

启动服务器。

测试时间!

服务器已成功配置。在客户端创建一个连接并连接。如果出现问题,请使用以下命令进行调试:

另外,如果客户端软件支持ipv6,即使客户端的网络没有提供地址,IPv6也应该在客户端工作。去这个网站测试。

可以了,好了!享受你的新的AnyConnect兼容的VPN服务器!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*