[网络协议]Centos8安装ocserv

Centos8安装ocserv

参考地址：https://bynss.com/codes/299985.html

安装ocserv服务端

OS Version：RHEL8

安装主程序

# 安装epel源
sudo dnf install epel-release

# 安装ocserv主程序
sudo dnf install ocserv -y

调整防火墙策略(必需配置)

防火墙放行https服务或443/tcp，443/udp，80/tcp

# 设置DNAT
firewall-cmd --add-masquerade
firewall-cmd --add-masquerade --per

# 临时放行443/tcp
sudo firewall-cmd --zone=public --add-port=443/tcp
# 永久放行443/tcp
sudo firewall-cmd --zone=public --add-port=443/tcp --per

# 临时放行443/udp
sudo firewall-cmd --zone=public --add-port=443/udp
# 永久放行443/udp
sudo firewall-cmd --zone=public --add-port=443/udp --per

# 放行80/tcp
sudo firewall-cmd --add-port=80/tcp
sudo firewall-cmd --add-port=80/tcp --per

# 放行80/udp
sudo firewall-cmd --add-port=80/udp
sudo firewall-cmd --add-port=80/udp --per

内核开启数据包转发功能

echo "net.ipv4.ip_forward = 1 
net.ipv4.conf.all.proxy_arp = 1" >> /etc/sysctl.conf && sysctl -p

常见问题

# 能连上vpn但是上不了网。
解决方法:
# 检查防火墙服务是否开启，允许防火墙DNAT
firewall-cmd --query-masquerade # 检查是否开启了DNAT

自助签发证书(非必需之行，仅适用于已绑定域名的主机)

安装certbot自助签发ssl证书

# 安装certbot主程序
sudo dnf install certbot

# 检查版本号
certbot --verion

自助签发证书> 前置条件：该服务器公网ip已经设置域名解析

sudo certbot certonly --standalone --preferred-challenges http --agree-tos --email [email protected] -d vpn.example.com

配置ocserv服务

# 设置ocserv服务开机自启并现在启动
sudo systemctl enable --now ocserv

编辑配置文件

# 先备份配置文件
mv /etc/ocserv/ocserv.conf /etc/ocserv/ocserv.conf.bak && touch /etc/ocserv/ocserv.conf

# 编辑空的配置文件
vim /etc/ocserv/ocserv.conf

配置内容

将下列内容复制粘贴到/etc/ocserv/ocserv.conf文件中，注意修改default-domain的值为你的服务器地址或域名

# 设置独立认证
auth = "plain[passwd=/etc/ocserv/ocpasswd]"

# 设置服务器监听端口
tcp-port = 443
udp-port = 443

# 程序以哪个用户和组运行
run-as-user = ocserv
run-as-group = ocserv

# socket文件
socket-file = ocserv.sock
chroot-dir = /var/lib/ocserv

# 默认证书配置
server-cert = /etc/pki/ocserv/public/server.crt
server-key = /etc/pki/ocserv/private/server.key

# 开启lz4压缩
compression = true
# 小于多少的流量不压缩
no-compression-limit = 256

# 隔离工作，默认不动
isolate-workers = true

# 最大客户端数量，0表示无限数量
max-clients = 16

# 同一用户可以同时登陆的客户端数量
max-same-clients = 5

# 限速毫秒？默认不动
rate-limit-ms = 100
# 服务器统计重置时间，不动
server-stats-reset-time = 604800
# 保活心跳，掉线检测，不动
keepalive = 32400
dpd = 90
mobile-dpd = 1800
switch-to-tcp-timeout = 25

# 启用MTU发以优化性能
try-mtu-discovery = true

# 空闲断开时间，如果想无限期连接，注释这两行
# idle-timeout=1200
# mobile-idle-timeout=2400

# 仅使用TLS1.2以上版本
cert-user-oid = 0.9.2342.19200300.100.1.1
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128:-VERS-TLS1.0:-VERS-TLS1.1"

# 认证超时时间
auth-timeout = 240
# 最小重新认证时间
min-reauth-time = 300
max-ban-score = 80
ban-reset-time = 1200
cookie-timeout = 300
deny-roaming = false
rekey-time = 172800
rekey-method = ssl
use-occtl = true
pid-file = /var/run/ocserv.pid
device = vpns
predictable-ips = true

# 默认域名，修改为你的域名或ip地址
default-domain = www.mydoamin.com

# 配置自定义私有IP地址范围，注释默认的两行
#ipv4-network = 192.168.1.0
#ipv4-netmask = 255.255.255.0
ipv4-network = 10.70.25.0
ipv4-netmask = 255.255.255.0

# 以VPN隧道传输所有DNS查询
tunnel-all-dns = true

# 更改DNS服务器(国内服务器就填写国内dns)
dns = 8.8.8.8
dns = 8.8.4.4
dns = 1.1.1.1
dns = 1.0.0.1

# 允许思科客户端连接
cisco-client-compat = true

保存配置，重启服务

systemctl restart ocserv

创建业务账号

# ocpasswd -c /etc/ocserv/ocpasswd 用户名
sudo ocpasswd -c /etc/ocserv/ocpasswd minrui
## 会弹出两次输入密码

下载客户端

Windows和mac客户端

下载地址： https://github.com/openconnect/openconnect-gui/releases

iOS和安卓客户端

应用商店搜索AnyConnect

连接服务器

添加服务器

首页点击连接，点击添加VPN连接，输入你的服务器地址，如果你的服务器地址是443端口，可以不需要加端口号，如果不是443端口号，需要输入ip:端口号。

取消不信任的服务器提示

连接服务器

首页点击AnyConnect VPN,输入你的用户名和密码即可连接。

Linux_server编写脚本开机自动连接

参考官方文档: https://www.infradead.org/openconnect/connecting.html
https://www.infradead.org/openconnect/vpnc-script.html
参考三方文档: http://8u.hn.cn/linuxjc/12595.html

安装opencontent

# 安装命令行版客户端
yum install openconnect -y

# 官方方案需要vpnc-script
yum install vpnc-script -y

连接脚本,方便开机自启

/bin/echo -n password | /usr/sbin/openconnect vpn.example.com -u username --passwd-on-stdin