在CentOS 7上部署具有证书验证功能的AnyConnect兼容VPN服务器
AnyConnect是Cisco开发的远程访问解决方案。因其便携性和稳定性,尤其是其DTLS功能而闻名,AnyConnect被许多公司所使用。我们打算使用ocserv
与协议兼容的开源版本。
我们也将部署证书验证。服务器将通过检查客户端证书是否由配置的CA颁发来识别客户端。这极大地简化了客户端的配置,因为我们只需要在客户端导入证书(大多数情况下是pkcs12文件(.pfx
或.p12
))并且不需要密码。由于没有密码在互联网上传播,因此这也更安全。
开始吧。
先决条件
- 一个启用了IPv6的新创建的CentOS 7服务器
- 一个工作的计算机(可以是服务器本身;不赞成,但见下文)见注1
- 安装有AnyConnect(或OpenConnect)客户端软件的某些客户端请参阅注2
笔记:
- 虽然在服务器上执行所有操作是可能的(也是相当方便的),但部署过程包括生成用于签名的私钥以及出于安全考虑,这个过程应该在您自己的计算机上完成。
- 由于许可问题,我不会提供下载客户端软件的链接。找到他们为您的客户是非常容易的。AnyConnect是主要移动平台(iOS,Android,BlackBerry OS(v10或更高版本),UWP)上应用程序商店中的应用程序,通过简单的搜索就可以找到。对于PC平台,一些谷歌搜索会为您提供合适的软件。
服务器端软件安装
Vultr的CentOS 7机器配置有EPEL存储库。我们只需安装ocserv
有yum
:
yum update
yum install ocserv
我们需要一个服务器证书才能工作。如果您有域名,Let's Encrypt将是最简单的选择。
yum install certbot
certbot certonly
选择“启动临时Web服务器”以使用ACME CA进行身份验证。如果您没有域名,则稍后会发布自签名证书。
证书生成和配置
传统的PKI使用起来相当不方便,所以我们将使用easyrsa
OpenVPN项目中的实用工具。在你的工作机器上安装git并克隆这个版本库:
git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3
我们将建立CA并颁发证书。执行以下操作并写出您在某处设置的PEM密码:
./easyrsa init-pki
./easyrsa build-ca
保持pki/private/ca.key
安全的地方。泄漏将使您的整个基础设施无用。
如果您选择使用自签名服务器证书,请执行以下操作:
./easyrsa gen-req server
并输入您的服务器的IP地址作为通用名称。
./easyrsa sign-req server server
这将签署服务器的证书。转移pki/issued/server.crt
和pki/ca.crt
对/etc/ssl/certs
和pki/private/server.key
对/etc/ssl/private
您的服务器上。
接下来我们将创建客户端证书。请执行下列操作:
./easyrsa gen-req client_01
./easyrsa sign-req client client_01
选择客户名称并将其填入通用名称字段。记住密码!
接下来,我们将导出pkcs12格式的证书,以便在移动平台上使用。做:
./easyrsa export-p12 client_01
选择在电话上导入证书时将提示您输入的导出密码。转移pki/private/client_01.p12
到您的手机并导入。
配置服务器
我们将填写证书信息。
vim /etc/ocserv/ocserv.conf
找到server-cert
部分并填写以下内容:
# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem
# If you use self-signed server certificate
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key
ca-cert = /etc/ssl/certs/ca.crt
请注意,如果您使用的是自签名证书,请记得先删除密码,openssl rsa -in server.key -out server-new.key
以便ocserv
可以使用私钥。
找到auth
部分。启用此行:
auth = "certificate"
并注释掉所有其他的auth
行。
取消注释此行:
cert-user-oid = 2.5.4.3
找到ipv6-network
并填写您的服务器的ipv6块。这是服务器将租用的块。
ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124
设置DNS服务器。
dns = 8.8.8.8
dns = 8.8.4.4
启用与思科客户端的兼容性
cisco-client-compat = true
打开您设置的端口,tcp-port
然后udp-port
在firewalld中为ipv4和ipv6启用伪装。
启动服务器。
systemctl enable ocserv
systemctl start ocserv
测试时间!
服务器已成功配置。在客户端创建一个连接并连接。如果出现问题,请使用以下命令进行调试:
journalctl -fu ocserv
另外,如果客户端软件支持ipv6,即使客户端的网络没有提供地址,IPv6也应该在客户端工作。去这个网站测试。
可以了,好了!享受你的新的AnyConnect兼容的VPN服务器!