1. 安装 ocserv (OpenConnect server)
ocserv 是一个 OpenConnect SSL VPN 协议服务端,0.3.0 版后兼容使用 AnyConnect SSL VPN 协议的终端。 官方主页:http://www.infradead.org/ocserv/
ocserv 已经在 epel 仓库中提供了,所以可以直接通过 yum 安装
yum install epel-release
yum install ocserv
2.生成证书
阅读官方文档
1) 创建工作文件夹
mkdir /opt/anyconnect
cd /opt/anyconnect/
2) 生成 CA 证书
certtool --generate-privkey --outfile ca-key.pem
cat >ca.tmpl <<EOF
cn = "VPN CA"
organization = "Big Corp"
serial = 1
expiration_days = 3650
ca
signing_key
cert_signing_key
crl_signing_key
EOF
certtool --generate-self-signed --load-privkey ca-key.pem \
--template ca.tmpl --outfile ca-cert.pem
把生成的 ca-cert.pem 放到 /etc/ocserv/ 中
cp ca-key.pem /etc/ocserv/
3) 生成本地服务器证书
certtool --generate-privkey --outfile server-key.pem
cat >server.tmpl <<EOF
cn = "VPN server"
organization = "MyCompany"
serial = 2
expiration_days = 3650
encryption_key
signing_key
tls_www_server
EOF
certtool --generate-certificate --load-privkey server-key.pem \
--load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem \
--template server.tmpl --outfile server-cert.pem
把生成的 server-cert.pem 和 server-key.pem 放到 /etc/ocserv/ 中
cp server-cert.pem server-key.pem /etc/ocserv/
4) 生成客户端证书(不生成)
3. 配置 ocserv
vim /etc/ocserv/ocserv.conf
# 使用密码登录注释掉
#auth = "pam"
auth = "plain[/etc/ocserv/ocpasswd]"
# 端口 TCP and UDP port number
tcp-port = 443
udp-port = 443
# 证书地址
server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem
# 取消注释设置客户端IP段
ipv4-network = 192.168.111.0
ipv4-netmask = 255.255.255.0
# 取消注释设置客户端DNS
dns = 114.114.114.114
# 必须配置一个自己连接的VPN服务器IP段,允许访问下面的网段
route = 192.168.0.0/255.255.0.0
4.创建用户
#username为你要添加的用户名
ocpasswd -c /etc/ocserv/ocpasswd username
5.配置系统设置
1) 开启内核转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
2) 配置iptables规则(不需要配置)
# 对指定的表 table 进行操作,添加一个规则,把192.168.111.0的流量指定到ens36出去
iptables -t nat -A POSTROUTING -s 192.168.111.0 -o ens36 -j MASQUERADE
iptables -A FORWARD -i vpns+ -j ACCEPT
iptables -A FORWARD -o vpns+ -j ACCEPT
# 保存路由表
iptables-save > /etc/sysconfig/iptables
3) 放行端口(必须配置)
firewall-cmd --permanent --add-port=443/tcp
firewall-cmd --permanent --add-port=443/udp
firewall-cmd --add-masquerade --permanent #必须配置,重要
firewall-cmd --reload
6.测试
现在我们可以开启服务器试试了
ocserv -c /etc/ocserv/ocserv.conf -f -d 10
如果没有问题,那么就可以配置成开机运行了
systemctl enable ocserv
systemctl start ocserv
Tips:
配置文件解析
注意:一定要配置route=VPN自己的IP段,否则连接VPN后无法访问VPN服务器
#ocserv支持多种认证方式,这是自带的密码认证,使用ocpasswd创建密码文件
#ocserv还支持证书认证,可以通过Pluggable Authentication Modules (PAM)使用radius等认证方式
auth = "plain[passwd=/etc/ocserv/ocpasswd]"
#指定替代的登录方式,这里使用证书登录作为第二种登录方式
enable-auth = "certificate"
#证书路径
server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem
#ca路径
ca-cert = /etc/ocserv/ca-cert.pem
#从证书中提取用户名的方式,这里提取的是证书中的 CN 字段作为用户名
cert-user-oid = 2.5.4.3
#最大用户数量
max-clients = 16
#同一个用户最多同时登陆数
max-same-clients = 10
#tcp和udp端口
tcp-port = 4433
udp-port = 4433
#运行用户和组
run-as-user = ocserv
run-as-group = ocserv
#虚拟设备名称
device = vpns
#分配给VPN客户端的IP段
ipv4-network = 10.12.0.0
ipv4-netmask = 255.255.255.0
#DNS
dns = 8.8.8.8
dns = 8.8.4.4
#注释掉全部route的字段,这样表示所有流量都通过 VPN 发送
#route = 192.168.1.0/255.255.255.0
#route = 192.168.5.0/255.255.255.0
#只允许访问下面的网段
route = 192.168.0.0/255.255.0.0
route = 172.16.0.0/255.255.0.0
route = 120.79.158.102/255.255.255.255
route = 120.79.166.14/255.255.255.255
# 采用账号密码方式认证
auth = "plain[passwd=/etc/ocserv/ocpasswd]"
# 设置服务器监听端口,默认的是443端口,但是会和https冲突,
# 可以设置成任意不冲突的端口
tcp-port = 4433
udp-port = 4433
# 程序以哪个用户和组运行
run-as-user = ocserv
run-as-group = ocserv
# socket文件
socket-file = /var/run/ocserv.sock
# 默认证书配置
server-cert = /etc/pki/ocserv/public/server.crt
server-key = /etc/pki/ocserv/private/server.key
# 开启lz4压缩
compression = true
# 隔离工作,默认不动
isolate-workers = true
# 最大客户端数量,0表示无限数量
max-clients = 16
# 同一用户可以同时登陆的客户端数量
max-same-clients = 5
# 默认不动
rate-limit-ms = 100
# 服务器统计重置时间,不动
server-stats-reset-time = 604800
# 保持连接,每隔多少秒向客户端发送连接数据包,防止断线。
# IOS系统5分钟会关闭后台数据通讯,然后就会断线。
# 因此将keepalive和mobile-dpd设置成200秒
keepalive = 200
dpd = 90
mobile-dpd = 200
# udp端口无传输25秒后转成tcp端口
switch-to-tcp-timeout = 25
# 启用MTU转发以优化性能
try-mtu-discovery = true
# 空闲断开时间,如果想无限期连接,注释这两行
# idle-timeout=1200
# mobile-idle-timeout=2400
# 仅使用TLS1.2以上版本
cert-user-oid = 0.9.2342.19200300.100.1.1
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128:-VERS-TLS1.0:-VERS-TLS1.1"
# 认证超时时间
auth-timeout = 240
# 最小重新认证时间
min-reauth-time = 300
max-ban-score = 80
ban-reset-time = 1200
cookie-timeout = 324000
deny-roaming = false
rekey-time = 172800
rekey-method = ssl
use-occtl = true
pid-file = /var/run/ocserv.pid
device = vpns
predictable-ips = true
# 默认域名,修改为你的域名或ip地址,这个设置没有任何作用
default-domain = xxx.com:4433
# 配置自定义私有IP地址范围,注释默认的两行
#ipv4-network = 192.168.1.0
#ipv4-netmask = 255.255.255.0
ipv4-network = 10.70.25.0
ipv4-netmask = 255.255.255.0
# 以VPN隧道传输所有DNS查询
tunnel-all-dns = true
# 更改DNS服务器(国内服务器就填写国内dns)
dns = 8.8.8.8
dns = 1.1.1.1
# 允许思科客户端连接
cisco-client-compat = true
# 以下路由表不通过VPN隧道,直接本地网络连接
# 一定要添加自己服务器的ip地址,否则连上VPN后打不开自己的网站
no-route = x.x.x.x / 255.255.255.255
启动客户端报错
The VPN Service is not available. Exiting,
解决方法
路径Win+R 输入services.msc 找到Cisco Anyconnect Mobility Agent,将服务启动
如果一直启动不了这个服务在控制面板中打开区域-管理-更改系统区域设置
取消勾选 选项"Beta版:使用Unicode UTF-8 提供全球语言支持”
ocserv.conf配置文件解析
# 监听的TCP端口(默认443,与HTTPS冲突时可改为9443等)
tcp-port = 443
# 监听的UDP端口(用于DTLS,提升实时性,默认443)
udp-port = 443
# 监听的IP地址(默认0.0.0.0,即所有网卡;可指定特定IP如192.168.1.1)
listen-host = 0.0.0.0
# 是否仅监听IPv4(yes/no,默认no,同时支持IPv6)
ipv4-only = no
# 服务器证书路径(PEM格式,需包含公钥)
server-cert = /etc/ocserv/certs/server-cert.pem
# 服务器私钥路径(PEM格式,需与证书匹配)
server-key = /etc/ocserv/certs/server-key.pem
# 信任的CA证书(用于验证客户端证书,可选)
ca-cert = /etc/ocserv/certs/ca-cert.pem
# TLS加密优先级(指定加密算法和协议,推荐使用高强度配置)
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"
# 使用ocpasswd文件存储密码(plain格式)
auth = "plain[passwd=/etc/ocserv/ocpasswd]"
# 或使用PAM认证(集成系统用户、LDAP等)
# auth = "pam[service=ocserv]"
# 要求客户端提供证书(与ca-cert配合验证)
cert-user-oid = 2.5.4.3 # 验证证书中的"Common Name"作为用户名
auth = "certificate"
# 分配给客户端的IPv4子网(如10.10.10.0/24)
ipv4-network = 10.10.10.0
ipv4-netmask = 255.255.255.0
# 可选:固定用户IP(格式:用户名:IP)
# user-ip = "user1:10.10.10.10, user2:10.10.10.11"
# 是否允许客户端保留固定IP(yes/no,默认no)
persistent-ip = no
# 分配给客户端的DNS服务器(可多个,用逗号分隔)
dns-servers = 8.8.8.8, 114.114.114.114
# 客户端访问的默认域名(可选,如公司内网域名)
default-domain = example.com
# 推送路由给客户端(客户端可访问的子网,多个路由分行写)
route = 192.168.1.0/24 # 允许访问192.168.1.x子网
route = 10.0.0.0/8 # 允许访问10.x.x.x子网
# 禁止客户端访问的子网(黑名单)
# no-route = 172.16.0.0/12
# 是否允许客户端访问所有网络(0.0.0.0/0,即全局代理)
# route = 0.0.0.0/0 # 谨慎启用 0.0.0.0/0,可能导致客户端所有流量经过 VPN,增加服务器负载。
# 最大并发客户端数(默认1024,受硬件性能限制)
max-clients = 100
# 单个用户最大并发连接数(默认2,如限制单用户多设备登录)
max-same-clients = 2
# 客户端空闲超时(秒,默认3600秒=1小时,超时自动断开)
idle-timeout = 3600
# 最大连接时长(秒,默认86400秒=24小时,强制断开长期连接)
max-session-duration = 86400
# 是否禁止客户端之间互相访问(yes/no,默认no)
client-isolation = yes
# 是否允许DTLS(UDP传输,提升语音/视频等实时流量性能)
dtls-allowed = yes
# DTLS超时时间(秒,默认300)
dtls-timeout = 300
# 日志级别(debug/info/notice/warn/err,默认info)
log-level = info
# 日志文件路径(默认输出到syslog,可指定文件)
log-file = /var/log/ocserv.log
# 是否记录客户端IP和用户名(yes/no,默认yes)
log-connect = yes
# 是否记录断开连接原因(yes/no,默认yes)
log-disconnect = yes
# 运行ocserv的用户(非root,增强安全性,如nobody)
run-as-user = nobody
# 运行ocserv的组
run-as-group = nobody
# PID文件路径(记录进程ID)
pid-file = /var/run/ocserv.pid
# 是否允许客户端更改密码(yes/no,默认no)
allow-password-change = no
# 客户端操作系统类型(用于推送特定配置,如"windows"、"macos")
# client-os = "windows"
# 禁用压缩(yes/no,默认no;低带宽场景可启用,但可能影响安全性)
compression = no
配置生效与验证
sudo occtl reload # 无需重启服务,动态加载配置
sudo ocserv -c /etc/ocserv/ocserv.conf -t # 检查配置文件语法
sudo systemctl restart ocserv
