搭建AnyConnect准备
1,首先你得有deibian 7以上的vps,由于各种依赖较新,debian 7以下不支持。
2,懂得怎么用ssh链接到vps上
3,openvz需要支持打开tun/tap服务。
3,按照教程操作
现在在啰嗦一点关于AnyConnect的事情:
AnyConnect是思科的安全远程接入解决方案,之前只有思科的设备才支持。
ocserv(OpenConnect server)是一个OpenConnect SSL 协议服务端,0.3.0版后兼容使用AnyConnect SSL 协议的终端。
AnyConnect链接有2种方式,一种是帐号和密码,一种是证书。
搭建AnyConnect
请注意:这个脚本不是我写的,所以我就不搬原作者的脚本更新内容等等了,只按照最简单的流程走一遍。
1,安装与调试
最好是纯净的系统来安装,避免出现问题,如果这是纯净新系统的话,请先更新一下系统,输入以下命令
1
| apt-get update && apt-get upgrade -y |
首次安装,终端输入以下命令,等待选择安装
1
| wget git.io/p9r8 --no-check-certificate -O ocservauto.sh&&bashocservauto.sh |
如果使用自动安装,默认是使用用户名和密码登录的方式进行登录,只需要输入初始用户名和密码,回车即可自动安装完成。(推荐这种方式,很简单)
如果使用自定义安装,请输入自己的要求来完成安装。
下面是进入脚本之后一些选项说明解释(图片来源于作者原文)。
如果安装成功则会显示:
现在就可以在app store搜索下载叫AnyConnect的软件:
1,进入app后,点击底部菜单栏的设置,把“阻止不信任的服务器”按钮关闭
2,点击底部菜单栏的“主页”——“连接”——“添加跨越长城连接…”——其中“说明”可以任意填写,起到提醒和说明的作用;“服务器地址”填写自己vps的ip和端口号,也就是安装成功后显示的“your server domain”——然后点击保存
3,点击底部菜单栏的“主页”——“AnyConnect跨越长城”按钮启动——输入帐号——输入密码。
4,手机顶部菜单显示“已经翻越长城”即成功了。
如下图:
安装失败
如果安装失败可以查阅安装日志,即脚本所在文件夹的ocinstall.log文件,可以使用下面命令逐步阅读
1
| more ocinstall.log |
空格键,向下滚动一屏;Ctrl+b,返回上一屏;q,退出。
一般情况下安装成功之后,服务器就在启动状态了。
多用户管理
a,用户名密码验证方式
若要新建可用用户,输入以下命令
1
| sudo ocpasswd -c /etc/ocserv/ocpasswd 999 |
这里的 “999”是新建的用户名。接着输入两次同样的密码,完成新建用户。
b,证书登录方式
所有用户的p12证书文件可以在放置脚本的目录下找到,导入证书时请输入自己设定的密码。
新建客户证书用以下命令
1
| bash ocservauto.sh gc |
吊销客户证书请使用下面命令
1
| bash ocservauto.sh rc |
脚本其他命令
a,平滑升级ocserv
请输入以下命令,原来的用户数据都会保留
1
| bash ocservauto.sh ug |
b,强制重装ocserv
请输入以下命令,注意这会使您的用户数据和配置丢失
1
| bash ocservauto.sh ri |
c,同时开启证书登录和用户名密码登录
请务必首先选择任意一种登录方式来完成安装,接着再使用下面命令
1
| bash ocservauto.sh pc |
d,关于相同客户端证书可以登录多个服务器的方案
假定我们有三台服务器ABC。
在A服务器上,通过本脚本安装ocserv并选择使用证书登录方式。
于/etc/ocserv目录下可以找到ca-cert.pem文件。这里复制备用,ca-cert.pem不用保密,可以直接挂在公网上。
在BC服务器上下载本脚本,并且请在同文件夹下放置A服务器上的ca-cert.pem,然后执行
1
| bash ocservauto.sh occ |
这里ABC服务器共用了A服务器的验证证书。
想要获取新证书,请在A服务器上执行
1
| bash ocservauto.sh gc |
也可以使用该客户端证书登录BC服务器。
如想要吊销证书,请在A服务器上执行
1
| bash ocservauto.sh rc |
吊销所有想要吊销的证书。
由于不支持在线吊销证书列表,所以必须还要把A服务器上的/etc/ocserv/crl.pem文件同时复制到BC服务器相同位置,且把ocserv的配置文件中的
1
| #crl = /etc/ocserv/crl.pem |
去掉注释,最后重启BC服务器的ocserv。
其他说明
1,所有配置文件统一放到了/etc/ocserv/文件夹下,管理脚本为/etc/init.d/ocserv 。自行修改配置后,可以使用下面命令重启服务。
1
| /etc/init.d/ocserv restart |
2,该脚本下ocserv的证书逻辑。
a,用户名密码登录
自签CA(证书授权中心),取得ca-cert.pem(不需要保密,类比公钥)和ca-key.pem(需要保密,类比私钥)。
CA签发信任服务器证书,取得server-cert.pem(不需要保密,类比公钥)、server-key.pem(需要保密,类比私钥)。
该模式下,密码库是/etc/ocserv/ocpasswd文件。
如果想使用购买的服务器证书,请参考Nginx服务器证书配置,只需将对应的crt、key 文件重命名为server-cert.pem、server-key.pem,并覆盖到/etc/ocserv/文件夹下面。
b,证书登录
自签CA(证书授权中心),取得ca-cert.pem(不需要保密,类比公钥)和ca-key.pem(需要保密,类比私钥)。
CA签发信任服务器证书,取得server-cert.pem(不需要保密,类比公钥)、server-key.pem(需要保密,类比私钥)。
CA签发信任客户端证书,最终取得username.p12。
这里证书授权中心的ca-cert.pem既当作服务器证书的根证书,也当作客户端证书的验证证书。
由于CA证书当作验证证书,签发客户端证书就需要这个ca-key.pem,可以比同为密码库。
如果想使用购买的服务器证书,请参考Nginx服务器证书配置,只需将对应的crt、key 文件重命名为server-cert.pem、server-key.pem,并覆盖到/etc/ocserv/文件夹下面。
3,改善优化
修改的参数都在/etc/ocserv/ocserv.conf文件中。
a,对于某些移动宽带、长城带宽等,往往经过了很多重NAT,容易出现连接成功但是无法打开网页情况,请改小dpd、mobile-dpd数值。
b,如果vps对于本地延迟甚高,取消注释output-buffer项。
原文连接:http://www.fanyueciyuan.info/fq/ocserv-debian.html/comment-page-1
没有评论:
发表评论