Настройка OpenConnect VPN Server (ocserv) на Ubuntu 16.04 / 17.10 с Let’s Encrypt

Установка OpenConnect VPN Server на Ubuntu 16.04 / 17.10

sudo apt install ocserv

Установка Let’s Encrypt Client (Certbot) на сервере Ubuntu 16.04 / 17.10

sudo apt install ocserv
sudo apt install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt update
sudo apt install certbot

Получение сертификата TLS от Let’s Encrypt

certbot certonly --standalone -d ocserv.example.com

Редактирование файла конфигурации OpenConnect VPN Server

sudo nano /etc/ocserv/ocserv.conf
auth = "plain[/etc/ocserv/ocpasswd]"
tcp-port = 443
udp-port = 443
run-as-user = nobody
run-as-group = daemon
socket-file = /var/run/ocserv-socket
server-cert = /etc/letsencrypt/live/ocserv.ml/fullchain.pem
server-key = /etc/letsencrypt/live/ocserv.ml/privkey.pem
ca-cert = /etc/letsencrypt/live/ocserv.ml/chain.pem
max-clients = 8
max-same-clients = 0
try-mtu-discovery = true
device = vpns
dns = 8.8.8.8
dns = 8.8.4.4
cisco-client-compat = true
default-domain = ocserv.example.com
tunnel-all-dns = true

Затем закомментируйте все директивы маршрута (добавьте символ # в начале следующих четырех строк), который установит сервер как шлюз по умолчанию для клиентов.

route = 10.10.10.0/255.255.255.0
route = 192.168.0.0/255.255.0.0
route = fef4:db8:1000:1001::/64

no-route = 192.168.5.0/255.255.255.0

Устранение сбоя связи DTLS

DTLS handshake failed: Resource temporarily unavailable, try again.
sudo cp /lib/systemd/system/ocserv.service /etc/systemd/system/ocserv.service
sudo nano /etc/systemd/system/ocserv.service

Закомментируйте следующие две строки.

Requires=ocserv.socket

Also=ocserv.socket
sudo systemctl daemon-reload
sudo systemctl stop ocserv.socket
sudo systemctl disable ocserv.socket
sudo systemctl restart ocserv.service

Создание учетных записей VPN

sudo ocpasswd -c /etc/ocserv/ocpasswd username

Включить переадресацию IP-адресов

sudo nano /etc/sysctl.conf
net.ipv4.ip_forward = 1
sudo sysctl -p

Настройка брандмауэра для IP-маскарадинга

ifconfig
sudo iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

Сохранение правил Iptables

apt-get install iptables-persistent

Если apt-get install iptables-persistent не действует, запустите dpkg-reconfigure iptables-persistent

Или сделайте это вручную:

По умолчанию правила iptables  теряются после перезагрузки.

Чтобы сохранить их, вы можете переключиться на пользователя root, а затем сохранить свои правила в файл.

 

su -

iptables-save > /etc/iptables.rules
>nano /etc/systemd/system/iptables-restore.service

 

[Unit]
Description=Packet Filtering Framework
Before=network-pre.target
Wants=network-pre.target
[Service]
Type=oneshot
ExecStart=/sbin/iptables-restore /etc/iptables.rules
ExecReload=/sbin/iptables-restore /etc/iptables.rules
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target
sudo systemctl daemon-reload
sudo systemctl enable iptables-restore

Установка и использование клиента OpenConnect VPN на Ubuntu 16.04 / 17.10

sudo apt install openconnect
sudo openconnect -b vpn.example.com:port-number
-b будет запускать клиента  фоновом режиме после установления соединения
sudo pkill openconnect
sudo apt install network-manager-openconnect network-manager-openconnect-gnome

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Настройка OpenConnect VPN Server (ocserv) на Ubuntu 16.04 / 17.10 с Let’s Encrypt: 3 комментария

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40