暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / CentOS7使用Ocser一键搭建CiscoAnyconnect服务器

CentOS7使用Ocser一键搭建CiscoAnyconnect服务器

明哥的运维笔记 2019-06-16
1490

作者: 黄高明
日期: 2019-06-14
类别: vpn系列 标题: CentOS7使用Ocserv搭建CiscoAnyconnect服务器

介绍

AnyConnect作为Cisco专有技术,其服务端只能运行在Cisco设备上,即如果没有购买Cisco相关设备,将无法使用AnyConnect服务端。而OpenConnect( ocserv
)的出现解决了这一个问题,OpenConnect是一个开源项目,其目标是在相对廉价的linux设备上运行与AnyConnect协议兼容的服务端,以此来使用该协议而不需要购买Cisco专有设备。 AnyConnect目前支持 Windows 7+ / Android / IOS / Mac ,其他设备没有客户端所以无法使用,例如 XP系统。

OpenConnect特点:

  • 我们需要的是安全内网访问,不是快速地绕过防火墙… 而且后期需要加入证书认证

  • OpenVPN 协议特征过于明显,虽然 AnyConnect 协议特征也十分明显,但是由于目前只有一些大厂在用,一般而言直接拨位与海外的 VPN 网关不容易受到干扰或受到的干扰较小

  • 对于例如 iOS/BlackBerry BBOS 系统而言,一般自带 AnyConnect 连接工具

  • 多系统支持,Windows 7+ / Android / IOS / Mac

部署

请撮:https://www.pvcreate.com/index.php/archives/193/

配置

主配置文件 /etc/ocserv/ocserv.conf

注意以上一键部署脚本会自动添加route配置,如果你想连接上anyconnect之后,全部流量都走vpn的话,请注释该配置文件以route开头的配置。如果只有部分网段走vpn的话,可以自行配置。比如连接上vpn之后,只有访问公司192.168.0.0/25网段才走vpn,可以在该配置文件之后添加 route=192.168.0.0/255.255.255.0

  1. auth = "plain[passwd=/etc/ocserv/ocpasswd]"
  2. tcp-port = 443
  3. udp-port = 443
  4. run-as-user = ocserv
  5. run-as-group = ocserv
  6. socket-file = ocserv.sock
  7. chroot-dir = /var/lib/ocserv
  8. isolate-workers = true
  9. max-clients = 1024
  10. max-same-clients = 10
  11. keepalive = 32400
  12. dpd = 90
  13. mobile-dpd = 1800
  14. switch-to-tcp-timeout = 25
  15. try-mtu-discovery = false
  16. server-cert = /etc/pki/ocserv/public/server.crt
  17. server-key = /etc/pki/ocserv/private/server.key
  18. tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"
  19. auth-timeout = 240
  20. min-reauth-time = 300
  21. max-ban-score = 50
  22. ban-reset-time = 300
  23. cookie-timeout = 86400
  24. deny-roaming = false
  25. rekey-time = 172800
  26. rekey-method = ssl
  27. use-occtl = true
  28. pid-file = /var/run/ocserv.pid
  29. device = vpns
  30. predictable-ips = true
  31. ipv4-network = 192.168.8.0/21
  32. dns = 8.8.8.8
  33. dns = 8.8.4.4
  34. ping-leases = false
  35. cisco-client-compat = true
  36. dtls-legacy = true

参数解释

  1. # 选择喜欢的登录方式,如果想使用证书登录的话应该把auth="certificate"前的井号删掉并在下面这行的前面加上井号。第5点会提到
  2. auth = "plain[/etc/ocserv/ocpasswd]"

  4. # 允许同时连接的总客户端数量,比如下面的4就是最多只能4台设备同时使用
  5. max-clients = 4

  7. #不同用户用同一个用户名可以同时登录,下面限制的是多少同名用户可以同时使用。改成0就是不作限制
  8. max-same-clients = 2

  10. # ocserv监听的IP地址,千万别动动了就爆炸
  11. #listen-host = [IP|HOSTNAME]

  13. # 服务监听的TCP/UDP端口,如果没有搭网站的话就用TCP443/UDP80好了
  14. tcp-port = 443
  15. udp-port = 80

  17. # 开启以后可以增强VPN性能
  18. try-mtu-discovery = true

  20. # 让服务器读取用户证书(后面会用到用户证书)
  21. cert-user-oid = 2.5.4.3

  23. # 服务器证书与密钥
  24. server-cert = /etc/ssl/selfsigned/server-cert.pem
  25. server-key = /etc/ssl/selfsigned/server-key.pem

  27. # 服务器所使用的dns,我们使用Google提供的DNS
  28. dns = 8.8.8.8
  29. dns = 8.8.4.4

  31. #把route = *全注释掉就是了
  32. #route = 192.168.1.0/255.255.255.0

  34. # 使ocserv兼容AnyConnect
  35. cisco-client-compat = tru

用户配置 /etc/ocserv/ocpasswd

  1. user:*:$5$AUmpA0nrORBa4M1K$sfEvgp70uiunAD9QHaUm.lgKid9lgYCYumsO0OKsB0C

命令

创建用户 ocpasswd-c/etc/ocserv/ocpasswd user

删除用户 ocpasswd-c/etc/ocserv/ocpasswd-d user

启动服务 service ocserv start

关闭服务器 service ocserv stop

重启服务 service ocserv restart

添加开机启动项 chkconf ocserv on

相关文章

序号标题
1通过脚本一键安装ocserv(anyconnect服务端)
2CentOS7使用Ocser搭建CiscoAnyconnect服务器(配置使用)
3通过脚本一键安装openvpn
4OpenVPN同时监听TCP和UDP端口
5CentOS 7安装配置PPTP


点击【阅读文章】 获取文章链接以及更多推荐!!!

数据库
文章转载自明哥的运维笔记,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论