@
目录
-
- 1. 安装 ocserv (OpenConnect server)
-
2.生成证书
- 1) 创建工作文件夹
- 2) 生成 CA 证书
- 3) 生成本地服务器证书
- 4) 生成客户端证书(不生成)
- 3. 配置 ocserv
- 4.创建用户
-
5.配置系统设置
- 1) 开启内核转发
- 2) 配置iptables规则(不需要配置)
- 3) 放行端口(必须配置)
- 6.测试
- Tips:
1. 安装 ocserv (OpenConnect server)
ocserv 是一个 OpenConnect SSL VPN 协议服务端,0.3.0 版后兼容使用 AnyConnect SSL VPN 协议的终端。
官方主页:http://www.infradead.org/ocserv/
ocserv 已经在 epel 仓库中提供了,所以可以直接通过 yum 安装
yum install epel-release
yum install ocserv
2.生成证书
阅读官方文档
1) 创建工作文件夹
mkdir /opt/anyconnect
cd /opt/anyconnect/
2) 生成 CA 证书
certtool --generate-privkey --outfile ca-key.pem
cat >ca.tmpl certtool --generate-self-signed --load-privkey ca-key.pem
--template ca.tmpl --outfile ca-cert.pem
把生成的 ca-cert.pem 放到 /etc/ocserv/ 中
cp ca-key.pem /etc/ocserv/
3) 生成本地服务器证书
certtool --generate-privkey --outfile server-key.pem
cat >server.tmpl certtool --generate-certificate --load-privkey server-key.pem
--load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem
--template server.tmpl --outfile server-cert.pem
把生成的 server-cert.pem 和 server-key.pem 放到 /etc/ocserv/ 中
cp server-cert.pem server-key.pem /etc/ocserv/
4) 生成客户端证书(不生成)
3. 配置 ocserv
vim /etc/ocserv/ocserv.conf
# 使用密码登录注释掉
#auth = "pam"
auth = "plain[/etc/ocserv/ocpasswd]"
# 端口 TCP and UDP port number
tcp-port = 443
udp-port = 443
# 证书地址
server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem
# 取消注释设置客户端IP段
ipv4-network = 192.168.111.0
ipv4-netmask = 255.255.255.0
# 取消注释设置客户端DNS
dns = 114.114.114.114
# 必须配置一个自己连接的VPN服务器IP段,允许访问下面的网段
route = 192.168.0.0/255.255.0.0
4.创建用户
#username为你要添加的用户名
ocpasswd -c /etc/ocserv/ocpasswd username
5.配置系统设置
1) 开启内核转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
2) 配置iptables规则(不需要配置)
# 对指定的表 table 进行操作,添加一个规则,把192.168.111.0的流量指定到ens36出去
iptables -t nat -A POSTROUTING -s 192.168.111.0 -o ens36 -j MASQUERADE
iptables -A FORWARD -i vpns+ -j ACCEPT
iptables -A FORWARD -o vpns+ -j ACCEPT
# 保存路由表
iptables-save > /etc/sysconfig/iptables
3) 放行端口(必须配置)
firewall-cmd --permanent --add-port=443/tcp
firewall-cmd --permanent --add-port=443/udp
firewall-cmd --add-masquerade --permanent #必须配置,重要
firewall-cmd --reload
6.测试
现在我们可以开启服务器试试了
ocserv -c /etc/ocserv/ocserv.conf -f -d 10
如果没有问题,那么就可以配置成开机运行了
systemctl enable ocserv
systemctl start ocserv
Tips:
注意:一定要配置route=VPN自己的IP段,否则连接VPN后无法访问VPN服务器
#ocserv支持多种认证方式,这是自带的密码认证,使用ocpasswd创建密码文件
#ocserv还支持证书认证,可以通过Pluggable Authentication Modules (PAM)使用radius等认证方式
auth = "plain[passwd=/etc/ocserv/ocpasswd]"
#指定替代的登录方式,这里使用证书登录作为第二种登录方式
enable-auth = "certificate"
#证书路径
server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem
#ca路径
ca-cert = /etc/ocserv/ca-cert.pem
#从证书中提取用户名的方式,这里提取的是证书中的 CN 字段作为用户名
cert-user-oid = 2.5.4.3
#最大用户数量
max-clients = 16
#同一个用户最多同时登陆数
max-same-clients = 10
#tcp和udp端口
tcp-port = 4433
udp-port = 4433
#运行用户和组
run-as-user = ocserv
run-as-group = ocserv
#虚拟设备名称
device = vpns
#分配给VPN客户端的IP段
ipv4-network = 10.12.0.0
ipv4-netmask = 255.255.255.0
#DNS
dns = 8.8.8.8
dns = 8.8.4.4
#注释掉全部route的字段,这样表示所有流量都通过 VPN 发送
#route = 192.168.1.0/255.255.255.0
#route = 192.168.5.0/255.255.255.0
#只允许访问下面的网段
route = 192.168.0.0/255.255.0.0
route = 172.16.0.0/255.255.0.0
route = 120.79.158.102/255.255.255.255
route = 120.79.166.14/255.255.255.255
# 采用账号密码方式认证
auth = "plain[passwd=/etc/ocserv/ocpasswd]"
# 设置服务器监听端口,默认的是443端口,但是会和https冲突,
# 可以设置成任意不冲突的端口
tcp-port = 4433
udp-port = 4433
# 程序以哪个用户和组运行
run-as-user = ocserv
run-as-group = ocserv
# socket文件
socket-file = /var/run/ocserv.sock
# 默认证书配置
server-cert = /etc/pki/ocserv/public/server.crt
server-key = /etc/pki/ocserv/private/server.key
# 开启lz4压缩
compression = true
# 隔离工作,默认不动
isolate-workers = true
# 最大客户端数量,0表示无限数量
max-clients = 16
# 同一用户可以同时登陆的客户端数量
max-same-clients = 5
# 默认不动
rate-limit-ms = 100
# 服务器统计重置时间,不动
server-stats-reset-time = 604800
# 保持连接,每隔多少秒向客户端发送连接数据包,防止断线。
# IOS系统5分钟会关闭后台数据通讯,然后就会断线。
# 因此将keepalive和mobile-dpd设置成200秒
keepalive = 200
dpd = 90
mobile-dpd = 200
# udp端口无传输25秒后转成tcp端口
switch-to-tcp-timeout = 25
# 启用MTU转发以优化性能
try-mtu-discovery = true
# 空闲断开时间,如果想无限期连接,注释这两行
# idle-timeout=1200
# mobile-idle-timeout=2400
# 仅使用TLS1.2以上版本
cert-user-oid = 0.9.2342.19200300.100.1.1
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128:-VERS-TLS1.0:-VERS-TLS1.1"
# 认证超时时间
auth-timeout = 240
# 最小重新认证时间
min-reauth-time = 300
max-ban-score = 80
ban-reset-time = 1200
cookie-timeout = 324000
deny-roaming = false
rekey-time = 172800
rekey-method = ssl
use-occtl = true
pid-file = /var/run/ocserv.pid
device = vpns
predictable-ips = true
# 默认域名,修改为你的域名或ip地址,这个设置没有任何作用
default-domain = xxx.com:4433
# 配置自定义私有IP地址范围,注释默认的两行
#ipv4-network = 192.168.1.0
#ipv4-netmask = 255.255.255.0
ipv4-network = 10.70.25.0
ipv4-netmask = 255.255.255.0
# 以VPN隧道传输所有DNS查询
tunnel-all-dns = true
# 更改DNS服务器(国内服务器就填写国内dns)
dns = 8.8.8.8
dns = 1.1.1.1
# 允许思科客户端连接
cisco-client-compat = true
# 以下路由表不通过VPN隧道,直接本地网络连接
# 一定要添加自己服务器的ip地址,否则连上VPN后打不开自己的网站
no-route = x.x.x.x / 255.255.255.255
