CentOS7使用Ocserv搭建CiscoAnyconnect服务器

最近这段时间我朝的墙是越来越猛，有点赶尽杀绝的意思，也不知道是有什么重要日子？

对于搭自用梯子的话，目前有一个比较好的方案可以非常有效的“防封”，就是今天要给大家介绍的Ocserv（OpenConnect）以下简称Ocserv。

因为Anyconnect是思科开发出来的，众所周知思科的网络设备天下第一，很多大型的企业都是用思科的设备，包括Anyconnect这种VPN解决方案，所以墙不敢随便封这种协议的梯子。

但是由于思科只允许Anyconnect运行在思科的设备上，所以就有了今天的Ocserv服务端。Ocserv诞生的主要目的就是可以让任何设备都能安装上Anyconnect而不在局限于思科。

因为最近墙实在是太鸡儿猛了，所以没办法才用Anyconnect的，一般情况下这玩意我都不想碰，毕竟搭建和配置都比较麻烦，而且也不是很好配合其他的加速软件，所以就一直没想写这方面的文章，今天就详细写一下吧。

为了教程更简便，这里我直接用EPEL源安装Ocserv，可以省去麻烦的编译过程。首先安装EPEL源：

yum -y install epel-release

然后就可以直接YUM安装Ocserv了：

yum -y install ocserv

新建一个目录，用来存放SSL证书相关文件，然后进入到这个目录内：

mkdir ssl
cd ssl

新建一个证书模板：

vi ca.tmpl

写入：

cn = "LALA"
organization = "LALA.IM"
serial = 1
expiration_days = 9999
ca
signing_key
cert_signing_key
crl_signing_key

注：LALA和LALA.IM可以根据自己的需要更改，反正都是自签证书，随便瞎鸡儿写也没关系。。。

然后生成私钥和CA证书：

certtool --generate-privkey --outfile ca-key.pem
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

接着来生成服务器证书，还是老样子新建一个证书模板：

vi server.tmpl

写入：

cn = "你的服务器IP"
organization = "LALA.IM"
expiration_days = 9999
signing_key
encryption_key
tls_www_server

注：cn后面的值改成你的服务器公网IP。

然后生成私钥和证书：

certtool --generate-privkey --outfile server-key.pem
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

然后我们把证书文件用移动到Ocserv默认的目录下：

cp server-cert.pem /etc/pki/ocserv/public/
cp server-key.pem /etc/pki/ocserv/private/
cp ca-cert.pem /etc/pki/ocserv/cacerts/

现在编辑ocserv的配置文件（需要改动的地方很多，如果vi不好用就自己用SFTP把这个文件下载到本地用专业的编辑器编辑）：

vi /etc/ocserv/ocserv.conf

让我们一起来看看需要改哪些地方：

1、auth也就是验证方式要改为：

auth = "plain[passwd=/etc/ocserv/ocpasswd]"

如图所示：

2、默认的监听端口为443，如果你的服务器上跑着HTTPS的WEB站点，那么443端口肯定是被占用了的，所以如果有需求的话，可以更改下面的值：

# TCP and UDP port number
tcp-port = 443
udp-port = 443

如图所示：

3、Anyconnect有一个设置连接欢迎信息的功能，也就是你在连接的时候会弹出一个提示框，提示框的内容就可以自行设置，如有需要可以更改下面的值：

# A banner to be displayed on clients
banner = "Welcome LALA.IM"

如图所示：

4、Anyconnect可以限制最大允许连接的设备数量，如有需要可以更改下面这两个值：

max-clients = 16
max-same-clients = 2

如图所示：

5、更改服务器证书以及私钥的路径为我们刚才移动的路径：

server-cert = /etc/pki/ocserv/public/server-cert.pem
server-key = /etc/pki/ocserv/private/server-key.pem

如图所示：

6、更改CA证书的路径为我们刚才移动的路径：

ca-cert = /etc/pki/ocserv/cacerts/ca-cert.pem

如图所示：

7、取消如下几个参数的注释（去掉#号就是去掉注释）：

ipv4-network
ipv4-netmask

如图所示：

8、去掉如下参数的注释以及设置DNS服务器地址：

tunnel-all-dns = true
dns = 8.8.8.8
dns = 8.8.4.4

如图所示：

确定你已经修改好上面的内容，然后保存即可。

现在来创建一个VPN用户：

ocpasswd -c /etc/ocserv/ocpasswd lala

盲输两遍密码即可。如果不想让这个用户继续使用了，可以执行下面的命令删除指定的用户：

ocpasswd -c /etc/ocserv/ocpasswd -d lala

现在我们开启机器的IPV4转发功能：

echo 1 > /proc/sys/net/ipv4/ip_forward

然后启动CentOS7的Firewalld防火墙：

systemctl start firewalld.service

放行Anyconnect的端口（我这里之前设置的是默认的443端口，如果你修改了端口，那么这里也要对应）：

firewall-cmd --permanent --zone=public --add-port=443/tcp
firewall-cmd --permanent --zone=public --add-port=443/udp

设置转发：

firewall-cmd --permanent --add-masquerade
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -o eth0 -j MASQUERADE

注：eth0是你的公网网卡名字，每个机器的名字可能都不一样，自己用ifconfig命令查一下就行了。

重加载，让新的配置生效：

firewall-cmd --reload

现在就可以尝试运行一下Ocserv了：

ocserv -f -d 1

如果一切正常，回显的内容大致如下图所示：

确定正常后按键盘组合键Ctrl+C退出运行，现在我们就可以直接用systemctl来管理Ocserv的进程。

设置Ocserv开机启动：

systemctl enable ocserv

启动Ocserv：

systemctl start ocserv

Anyconnect支持多平台客户端，Win/iOS/Android都是支持的，软件下载地址：

https://software.cisco.com/download/home/286281283/type/282364313/release/4.6.01103

iOS的话直接在商店里面搜索Anyconnect安装就行了。下面我拿iOS设备示范一下。

首先打开APP点击“设置”，把“阻止不信任的服务器”这个选项关闭，如图所示：

接着点击“连接”-“添加VPN连接”，按如下图配置：

现在就可以连接了，会提示你不信任的服务器，点“继续”：

然后就是输入用户名密码了，这里就不多说了，用户名和密码就是之前你自己在终端内创建的那个，如果用户名和密码验证正确的话，那么最后就会弹出你设置的欢迎信息：

现在就开始爱国吧。。。

写在最后：

其他客户端的配置都大同小异。因为我们是自签的证书，所以不管在哪个客户端上只要把“阻止不信任的服务器”这种类似的功能关闭就行了。