CentOS7使用Ocser一键搭建CiscoAnyconnect服务器 | 乐趣区

作者: 黄高明
日期: 2019-06-14
类别: vpn系列
标题: CentOS7使用Ocserv搭建CiscoAnyconnect服务器

介绍

AnyConnect作为Cisco专有技术，其服务端只能运行在Cisco设备上，即如果没有购买Cisco相关设备，将无法使用AnyConnect服务端。而OpenConnect(ocserv)的出现解决了这一个问题，OpenConnect是一个开源项目，其目标是在相对廉价的linux设备上运行与AnyConnect协议兼容的服务端，以此来使用该协议而不需要购买Cisco专有设备。
AnyConnect目前支持 Windows 7+ / Android / IOS / Mac ，其他设备没有客户端所以无法使用，例如 XP系统。

OpenConnect特点：

我们需要的是安全内网访问，不是快速地绕过防火墙… 而且后期需要加入证书认证
OpenVPN 协议特征过于明显，虽然 AnyConnect 协议特征也十分明显，但是由于目前只有一些大厂在用，一般而言直接拨位与海外的 VPN 网关不容易受到干扰或受到的干扰较小
对于例如 iOS/BlackBerry BBOS 系统而言，一般自带 AnyConnect 连接工具
多系统支持，Windows 7+ / Android / IOS / Mac

部署

请撮:https://www.pvcreate.com/index.php/archives/193/

配置

主配置文件
/etc/ocserv/ocserv.conf

注意以上一键部署脚本会自动添加route配置，如果你想连接上anyconnect之后，全部流量都走vpn的话，请注释该配置文件以route开头的配置。如果只有部分网段走vpn的话，可以自行配置。比如连接上vpn之后，只有访问公司192.168.0.0/25网段才走vpn，可以在该配置文件之后添加
route=192.168.0.0/255.255.255.0

auth = "plain[passwd=/etc/ocserv/ocpasswd]"tcp-port = 443udp-port = 443run-as-user = ocservrun-as-group = ocservsocket-file = ocserv.sockchroot-dir = /var/lib/ocservisolate-workers = truemax-clients = 1024max-same-clients = 10keepalive = 32400dpd = 90mobile-dpd = 1800switch-to-tcp-timeout = 25try-mtu-discovery = falseserver-cert = /etc/pki/ocserv/public/server.crtserver-key = /etc/pki/ocserv/private/server.keytls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"auth-timeout = 240min-reauth-time = 300max-ban-score = 50ban-reset-time = 300cookie-timeout = 86400deny-roaming = falserekey-time = 172800rekey-method = ssluse-occtl = truepid-file = /var/run/ocserv.piddevice = vpnspredictable-ips = trueipv4-network = 192.168.8.0/21dns = 8.8.8.8dns = 8.8.4.4ping-leases = falsecisco-client-compat = truedtls-legacy = true

参数解释

# 选择喜欢的登录方式，如果想使用证书登录的话应该把auth="certificate"前的井号删掉并在下面这行的前面加上井号。第5点会提到auth = "plain[/etc/ocserv/ocpasswd]"# 允许同时连接的总客户端数量，比如下面的4就是最多只能4台设备同时使用max-clients = 4#不同用户用同一个用户名可以同时登录，下面限制的是多少同名用户可以同时使用。改成0就是不作限制max-same-clients = 2# ocserv监听的IP地址，千万别动动了就爆炸#listen-host = [IP|HOSTNAME]# 服务监听的TCP/UDP端口，如果没有搭网站的话就用TCP443/UDP80好了tcp-port = 443udp-port = 80# 开启以后可以增强VPN性能try-mtu-discovery = true# 让服务器读取用户证书（后面会用到用户证书）cert-user-oid = 2.5.4.3# 服务器证书与密钥server-cert = /etc/ssl/selfsigned/server-cert.pemserver-key = /etc/ssl/selfsigned/server-key.pem# 服务器所使用的dns，我们使用Google提供的DNSdns = 8.8.8.8dns = 8.8.4.4#把route = *全注释掉就是了#route = 192.168.1.0/255.255.255.0# 使ocserv兼容AnyConnectcisco-client-compat = tru

用户配置 /etc/ocserv/ocpasswd

user:*:$5$AUmpA0nrORBa4M1K$sfEvgp70uiunAD9QHaUm.lgKid9lgYCYumsO0OKsB0C

命令

创建用户
ocpasswd -c /etc/ocserv/ocpasswd user

删除用户
ocpasswd -c /etc/ocserv/ocpasswd -d user

启动服务
service ocserv start

关闭服务器
service ocserv stop

重启服务
service ocserv restart

添加开机启动项
chkconf ocserv on

序号	标题
1	通过脚本一键安装ocserv(anyconnect服务端)
2	CentOS7使用Ocser搭建CiscoAnyconnect服务器(配置使用)
3	通过脚本一键安装openvpn
4	OpenVPN同时监听TCP和UDP端口
5	CentOS 7安装配置PPTP

介绍

部署

配置

命令

相关文章