Questo tutorial ti mostrerà come eseguire il tuo server VPN installando il server VPN OpenConnect su Debian 11 Bullseye . Server VPN OpenConnect, noto anche come ocserv , è un'implementazione open source del protocollo Cisco AnyConnnect VPN, ampiamente utilizzato nelle aziende e nelle università. AnyConnect è un protocollo VPN basato su SSL che consente ai singoli utenti di connettersi a una rete remota.
Perché configurare il tuo server VPN?
- Forse sei un provider di servizi VPN o un amministratore di sistema, che ti conviene configurare il tuo server VPN.
- Non ti fidi della politica di non registrazione dei fornitori di servizi VPN, quindi segui la strada dell'host autonomo.
- Puoi utilizzare la VPN per implementare la politica di sicurezza della rete. Ad esempio, se gestisci il tuo server di posta elettronica, puoi richiedere agli utenti di accedere solo dall'indirizzo IP del server VPN creando una whitelist di indirizzi IP nel firewall. Pertanto, il tuo server di posta elettronica è protetto per prevenire attività di hacking.
- Forse sei solo curioso di sapere come funziona il server VPN.
Caratteristiche del server VPN OpenConnect
- Leggero e veloce. Nel mio test, posso guardare i video 4K di YouTube con OpenConnect VPN. YouTube è bloccato nel mio paese (Cina).
- Funziona su Linux e sulla maggior parte dei server BSD.
- Compatibile con il client Cisco AnyConnect
- Esiste il software client OpenConnect per Linux, macOS, Windows e OpenWRT. Per Android e iOS, puoi utilizzare Cisco AnyConnect Client.
- Supporta l'autenticazione della password e l'autenticazione del certificato
- Supporta la contabilità RADIUS.
- Facile da configurare per gli amministratori di sistema
- Processo di configurazione semplice per gli utenti finali.
- OpenConnect VPN può essere configurato per operare sulla porta TCP 443 e utilizza il protocollo TLS standard per crittografare il traffico di rete. Sembra il protocollo HTTPS standard, il che rende difficile essere bloccati.
Mi piace particolarmente il fatto che, rispetto ad altre tecnologie VPN, sia molto facile e conveniente per l'utente finale utilizzare OpenConnect VPN. Ogni volta che installo una distribuzione Linux sul mio computer e voglio sbloccare rapidamente siti Web o nascondere il mio indirizzo IP, installo il client OpenConnect e mi collego al server con solo due righe di comandi:
sudo apt install openconnect sudo openconnect -b vpn.mydomain.com
C'è anche il client VPN OpenConnect per Fedora, RHEL, CentOS, Arch Linux e OpenSUSE. Puoi installarlo facilmente con il tuo gestore di pacchetti.
sudo dnf install openconnect sudo yum install openconnect sudo pacman -S openconnect
Requisiti
Per seguire questo tutorial, avrai bisogno di un VPS (Virtual Private Server) che possa accedere liberamente ai siti web bloccati (fuori dal tuo paese o sistema di filtraggio Internet). Raccomando Kamatera VPS, che include:
- 30 giorni di prova gratuita.
- A partire da $ 4 al mese (1 GB di RAM)
- VPS basato su KVM ad alte prestazioni
- 9 data center in tutto il mondo, inclusi Stati Uniti, Canada, Regno Unito, Germania, Paesi Bassi, Hong Kong e Israele.
Segui il tutorial collegato di seguito per creare il tuo server VPS Linux su Kamatera.
- Come creare un server VPS Linux su Kamatera
Una volta che hai un VPS che esegue Debian 11 Bullseye, segui le istruzioni seguenti.
È inoltre necessario un nome di dominio per abilitare HTTPS per OpenConnect VPN. Ho registrato il mio nome di dominio da NameCheap perché il prezzo è basso e offrono protezione della privacy a Whois gratuita per tutta la vita.
Passaggio 1:installa OpenConnect VPN Server su Debian 11 Bullseye
Accedi al tuo server Debian 11 Bullseye tramite SSH. Quindi usa apt per installare ocserv pacchetto dal repository Debian.
sudo apt update sudo apt install ocserv
Una volta installato, il server OpenConnect VPN viene avviato automaticamente. Puoi verificarne lo stato con:
systemctl status ocserv
Esempio di output:
● ocserv.service - OpenConnect SSL VPN server
Loaded: loaded (/lib/systemd/system/ocserv.service; enabled; vendor preset: enabled)
Active: active (running) since Sat 2021-09-25 21:35:29 EDT; 8s ago
Docs: man:ocserv(8)
Main PID: 52509 (ocserv-main)
Tasks: 2 (limit: 1095)
Memory: 2.0M
CPU: 12ms
CGroup: /system.slice/ocserv.service
├─52509 ocserv-main
└─52519 ocserv-sm
Suggerimento:se il comando precedente non si chiude immediatamente, puoi premere il Q chiave per riprendere il controllo del terminale.
Se non è in esecuzione, puoi avviarlo con:
sudo systemctl start ocserv
Per impostazione predefinita, il server VPN OpenConnect è in ascolto sulla porta TCP e UDP 443. Se la porta 443 viene utilizzata da un server Web, il server VPN potrebbe non essere in grado di avviarsi. Vedremo come modificare la porta nel file di configurazione di OpenConnect VPN in seguito.
Passaggio 2:installa UFW Firewall
Sono disponibili diverse soluzioni firewall per Linux. Userò UFW, che è un front-end per il firewall iptables ed è facile da gestire. Installa UFW su Debian con:
sudo apt install ufw
Innanzitutto, devi consentire il traffico SSH.
sudo ufw allow 22/tcp
Quindi devi aprire le porte TCP 80 e 443.
sudo ufw allow 80,443/tcp
Quindi, abilita UFW.
sudo ufw enable
Fase 3:Installa Let's Encrypt Client (Certbot) su Debian 11 Bullseye Server
Il gnutls-bin pacchetto installato insieme a ocserv fornisce strumenti per creare la tua CA e il tuo certificato server, ma otterremo e installeremo Let's Encrypt certificato. Il vantaggio dell'utilizzo del certificato Let's Encrypt è che è gratuito, più facile da configurare e considerato affidabile dal software client VPN.
Esegui i seguenti comandi per installare il client Let's Encrypt (certbot) su Debian 11.
sudo apt install certbot
Per controllare il numero di versione, esegui
certbot --version
Esempio di output:
certbot 1.12.0
Fase 4:ottieni un certificato TLS affidabile da Let's Encrypt
Puoi utilizzare il standalone , apache o nginx plug-in per ottenere il certificato TLS. Nei testi seguenti dovresti sostituire example.com con il tuo vero nome di dominio.
Plugin autonomo
Se non è presente alcun server Web in esecuzione sul server Debian 11 Bullseye e si desidera che il server OpenConnect VPN utilizzi la porta 443, è possibile utilizzare il plug-in autonomo per ottenere il certificato TLS da Let's Encrypt. Imposta il record DNS A per vpn.example.com sul sito Web del registrar di domini, quindi eseguire il comando seguente per ottenere il certificato.
sudo certbot certonly --standalone --preferred-challenges http --agree-tos --email [email protected] -d vpn.example.com
Spiegazione:
certonly:Ottieni un certificato ma non installarlo.--standalone:usa il plugin standalone per ottenere un certificato--preferred-challenges http:esegui la verifica http-01 per convalidare il nostro dominio, che utilizzerà la porta 80.--agree-tos:Accetta i termini di servizio di Let's Encrypt.--email:l'indirizzo e-mail viene utilizzato per la registrazione e il recupero dell'account.-d:Specifica il tuo nome di dominio.
Come puoi vedere dallo screenshot seguente, ho ottenuto con successo il certificato.
Se riscontri il seguente errore, significa che c'è un server web che sta già utilizzando la porta 80, quindi dovresti usare il plugin webroot per ottenere il certificato TLS.
Problem binding to port 80: Could not bind to IPv4 or IPv6.
Utilizzo del plug-in webroot
Se il tuo server Debian 11 Bullseye ha un server web in ascolto sulle porte 80 e 443, allora è una buona idea usare il plugin webroot per ottenere un certificato perché il plugin webroot funziona praticamente con tutti i server web e non è necessario installarlo il certificato nel server web.
Innanzitutto, devi creare un host virtuale per vpn.example.com.
Apache
Se stai usando Apache server web, quindi è necessario installare il plugin Certbot Apache.
sudo apt install python3-certbot-apache
Crea un host virtuale in /etc/apache2/sites-available/ directory.
sudo nano /etc/apache2/sites-available/vpn.example.com.conf
E incolla le seguenti righe nel file.
<VirtualHost *:80>
ServerName vpn.example.com
DocumentRoot /var/www/ocserv
</VirtualHost>
Salva e chiudi il file. Quindi crea la directory principale web.
sudo mkdir /var/www/ocserv
Imposta www-data (utente Apache) come proprietario della radice web.
sudo chown www-data:www-data /var/www/ocserv -R
Abilita questo host virtuale.
sudo a2ensite vpn.example.com
Ricarica Apache per rendere effettive le modifiche.
sudo systemctl reload apache2
Una volta creato e abilitato l'host virtuale, esegui il comando seguente per ottenere il certificato Let's Encrypt utilizzando il plugin Apache.
sudo certbot certonly -a apache --agree-tos --email [email protected] -d vpn.example.com
Nginx
Se stai usando Nginx server web, quindi è necessario installare il plug-in Certbot Nginx.
sudo apt install python3-certbot-nginx
crea un host virtuale in /etc/nginx/conf.d/ .
sudo nano /etc/nginx/conf.d/vpn.example.com.conf
Incolla le seguenti righe nel file.
server {
listen 80;
server_name vpn.example.com;
root /var/www/ocserv/;
location ~ /.well-known/acme-challenge {
allow all;
}
} Salva e chiudi il file. Quindi crea la directory principale web.
sudo mkdir /var/www/ocserv
Imposta www-data (utente Nginx) come proprietario della radice web.
sudo chown www-data:www-data /var/www/ocserv -R
Ricarica Nginx per rendere effettive le modifiche.
sudo systemctl reload nginx
Una volta creato e abilitato l'host virtuale, esegui il comando seguente per ottenere il certificato Let's Encrypt utilizzando il plug-in Certbot Nginx.
sudo certbot certonly -a nginx --agree-tos --email [email protected] -d vpn.example.com
Passaggio 5:modifica il file di configurazione del server VPN OpenConnect
Modifica il file di configurazione di ocserv.
sudo nano /etc/ocserv/ocserv.conf
Innanzitutto, dobbiamo configurare l'autenticazione della password. Per impostazione predefinita, è abilitata l'autenticazione della password tramite PAM (Pluggable Authentication Modules), che consente di utilizzare gli account di sistema Debian per accedere dai client VPN. Questo comportamento può essere disabilitato commentando la riga seguente.
auth = "pam[gid-min=1000]"
Se desideriamo che gli utenti utilizzino account VPN separati anziché account di sistema per l'accesso, è necessario aggiungere la riga seguente per abilitare l'autenticazione della password con un file di password.
auth = "plain[passwd=/etc/ocserv/ocpasswd]"
Nel passaggio 6, utilizzeremo ocpasswd strumento per generare il /etc/ocserv/ocpasswd file, che contiene un elenco di nomi utente e password codificate.
Nota :Ocserv supporta l'autenticazione del certificato client, ma Let's Encrypt non emette il certificato client. Se desideri abilitare l'autenticazione del certificato, devi configurare la tua CA per l'emissione del certificato client.
Quindi, se non desideri che ocserv utilizzi la porta TCP e UDP 443 (c'è un server Web che utilizza la porta 443), trova le due righe seguenti e modifica il numero di porta. Altrimenti lasciali soli.
tcp-port = 443 udp-port = 443
Quindi trova le due righe seguenti. Dobbiamo cambiarli.
server-cert = /etc/ssl/certs/ssl-cert-snakeoil.pem server-key = /etc/ssl/private/ssl-cert-snakeoil.key
Sostituisci l'impostazione predefinita con il percorso del certificato del server Let's Encrypt e il file della chiave del server.
server-cert = /etc/letsencrypt/live/vpn.example.com/fullchain.pem server-key = /etc/letsencrypt/live/vpn.example.com/privkey.pem
Quindi, imposta il numero massimo di client. Il valore predefinito è 128. Impostato su zero per illimitato.
max-clients = 128
Imposta il numero di dispositivi da cui un utente può accedere contemporaneamente. Il valore predefinito è 2. Impostato su zero per illimitato.
max-same-clients = 2
Per impostazione predefinita, i pacchetti keep-alive vengono inviati ogni 300 secondi (5 minuti). Preferisco utilizzare un tempo breve (30 secondi) per ridurre la possibilità di interruzione della connessione VPN.
keepalive = 30
Quindi, trova la riga seguente. Cambia false su true per abilitare il rilevamento MTU.
try-mtu-discovery = false
È possibile impostare il tempo in cui un client può rimanere inattivo prima di essere disconnesso tramite i due parametri seguenti. Se preferisci che il client rimanga connesso indefinitamente, commenta questi due parametri.
idle-timeout=1200 mobile-idle-timeout=1800
Successivamente, imposta il dominio predefinito su vpn.example.com.
default-domain = vpn.example.com
La configurazione della rete IPv4 è la seguente per impostazione predefinita. Ciò causerà problemi perché la maggior parte dei router domestici imposta anche l'intervallo di rete IPv4 su 192.168.1.0/24 .
ipv4-network = 192.168.1.0 ipv4-netmask = 255.255.255.0
Possiamo utilizzare un altro intervallo di indirizzi IP privati (come 10.10.10.0/24) per evitare la collisione di indirizzi IP, quindi cambia il valore di ipv4-network a
ipv4-network = 10.10.10.0
Ora decommenta la riga seguente per eseguire il tunneling di tutte le query DNS tramite la VPN.
tunnel-all-dns = true
Per impostazione predefinita, ocserv utilizza i server DNS pubblici 8.8.8.8 (Google) e 1.1.1.1 (Cloudflare), il che va bene.
dns = 8.8.8.8 dns = 1.1.1.1
Nota :Se sei un provider di servizi VPN, è buona norma eseguire il tuo risolutore DNS. Se è presente un resolver DNS in esecuzione sullo stesso server, specifica il DNS come
dns = 10.10.10.1
10.10.10.1 è l'indirizzo IP del server OpenConnect VPN nella VPN LAN. Ciò accelererà un po' le ricerche DNS per i client perché viene eliminata la latenza di rete tra il server VPN e il risolutore DNS.
Quindi commenta tutti i parametri del percorso (aggiungi il carattere # all'inizio delle righe seguenti), che imposterà il server come gateway predefinito per i client.
#route = 10.0.0.0/8 #route = 172.16.0.0/12 #route = 192.168.0.0/16 #route = fd00::/8 #route = default #no-route = 192.168.5.0/255.255.255.0
Salva e chiudi il file Quindi riavvia il server VPN per rendere effettive le modifiche.
sudo systemctl restart ocserv
Passaggio 6:creazione di account VPN
Ora usa lo strumento ocpasswd per generare account VPN.
sudo ocpasswd -c /etc/ocserv/ocpasswd username
Ti verrà chiesto di impostare una password per l'utente e le informazioni verranno salvate in /etc/ocserv/ocpasswd file. Per reimpostare la password, esegui nuovamente il comando precedente.
Passaggio 7:abilita l'inoltro IP nel kernel Linux
Affinché il server VPN instrada i pacchetti tra il client VPN e Internet, è necessario abilitare l'inoltro IP. Modifica sysctl.conf file.
sudo nano /etc/sysctl.conf
Aggiungi la seguente riga alla fine di questo file.
net.ipv4.ip_forward = 1
Salva e chiudi il file. Quindi applica le modifiche con il comando seguente. Il -p l'opzione caricherà le impostazioni di sysctl da /etc/sysctl.conf file. Questo comando conserverà le nostre modifiche durante i riavvii del sistema.
sudo sysctl -p
Fase 8:Configura IP Masquerading in Firewall
Abbiamo bisogno di impostare il mascheramento IP nel firewall del server, in modo che il server diventi un router virtuale per i client VPN. Trova il nome dell'interfaccia di rete principale del tuo server.
ip -c a
Come puoi vedere, si chiama eth0 sul mio server Debian.
Per configurare il mascheramento IP, dobbiamo aggiungere il comando iptables in un file di configurazione UFW.
sudo nano /etc/ufw/before.rules
Per impostazione predefinita, ci sono alcune regole per il filter tavolo. Aggiungi le seguenti righe alla fine di questo file. Nell'editor di testo Nano, puoi andare alla fine del file premendo Ctrl+W , quindi premendo Ctrl+V .
# NAT table rules *nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE # End each table with the 'COMMIT' line or these rules won't be processed COMMIT
Sostituisci eth0 con il tuo nome di interfaccia di rete.
Le righe precedenti verranno aggiunte (-A ) una regola fino alla fine di POSTROUTING catena di nat tavolo. Collegherà la tua rete privata virtuale con Internet. E nascondi anche la tua rete dal mondo esterno. Quindi Internet può vedere solo l'IP del tuo server VPN, ma non può vedere l'IP del tuo client VPN, proprio come il tuo router domestico nasconde la tua rete domestica privata.
Per impostazione predefinita, UFW vieta l'inoltro dei pacchetti. Possiamo consentire l'inoltro per la nostra rete privata. Trova il ufw-before-forward catena in questo file e aggiungi le seguenti 3 righe, che accetteranno l'inoltro di pacchetti se l'IP di origine o di destinazione è nel 10.10.10.0/24 intervallo.
# allow forwarding for trusted network -A ufw-before-forward -s 10.10.10.0/24 -j ACCEPT -A ufw-before-forward -d 10.10.10.0/24 -j ACCEPT
Salva e chiudi il file. Quindi riavvia UFW.
sudo systemctl restart ufw
Ora se elenchi le regole nella catena POSTROUTING della tabella NAT usando il seguente comando:
sudo iptables -t nat -L POSTROUTING
Puoi vedere la regola della Masquerade.
Potrebbe volerci del tempo prima che UFW elabori le regole del firewall. Se la regola della mascherata non viene visualizzata, riavvia nuovamente UFW (sudo systemctl restart ufw ).
Fase 9:apri la porta 443 nel firewall
Esegui il comando seguente per aprire la porta TCP e UDP 443. Se hai configurato una porta diversa per ocserv, cambia 443 nella porta configurata.
sudo ufw allow 443/tcp sudo ufw allow 443/udp
Ora il server OpenConnect VPN è pronto per accettare le connessioni client.
Per quelli di voi che utilizzano un resolver DNS locale, se avete specificato 10.10.10.1 come server DNS per i client VPN, dovete consentire ai client VPN di connettersi alla porta 53 con la seguente regola UFW.
sudo ufw insert 1 allow in from 10.10.10.0/24
Devi anche modificare la configurazione del server DNS BIND per consentire ai client VPN di inviare query DNS ricorsive come di seguito.
allow-recursion { 127.0.0.1; 10.10.10.0/24; }; Client GUI OpenConnect per Windows e macOS
Possono essere scaricati dalla pagina Github della GUI di OpenConnect.
Come installare e utilizzare il client VPN OpenConnect su Debian 11 Bullseye Desktop
Eseguire il comando seguente per installare il client della riga di comando OpenConnect VPN sul desktop Debian.
sudo apt install openconnect
Puoi connetterti a VPN dalla riga di comando come di seguito. -b flag lo farà funzionare in background dopo che la connessione è stata stabilita.
sudo openconnect -b vpn.example.com
Per impostazione predefinita, il client openconnect contatterà la porta 443 del server. Se hai configurato una porta diversa per il server, puoi aggiungere il numero di porta.
sudo openconnect -b vpn.example.com:port-number
Ti verrà chiesto di inserire nome utente e password VPN. Se la connessione viene stabilita correttamente, vedrai il seguente messaggio.
Got CONNECT response: HTTP/1.1 200 CONNECTED CSTP connected. DPD 60, Keepalive 300 Connected as 10.10.10.139, using SSL + LZ4, with DTLS + LZ4 in progress Continuing in background; pid 17050
Se la connessione non riesce, puoi controllare il registro ocserv per scoprire il motivo. (Forse non hai inserito correttamente la password.)
sudo journaltcl -eu ocserv
Per interrompere la connessione, esegui:
sudo pkill openconnect
Per eseguire il client in modo non interattivo, utilizza la seguente sintassi.
echo -n password | sudo openconnect -b vpn.example.com -u username --passwd-on-stdin
Se desideri utilizzare Network Manager per gestire la connessione VPN, devi installare questi pacchetti.
sudo apt install network-manager-openconnect network-manager-openconnect-gnome
Se sei connesso correttamente al server VPN, ma il tuo indirizzo IP pubblico non cambia, è perché l'inoltro IP o il mascheramento IP non funzionano. Una volta ho avuto un errore di battitura nel mio comando iptables, che ha impedito al mio computer di navigare in Internet.
Connessione automatica all'avvio del sistema
Per consentire al client OpenConnect VPN di connettersi automaticamente al server all'avvio, possiamo creare un'unità di servizio systemd.
sudo nano /etc/systemd/system/openconnect.service
Inserisci le seguenti righe nel file. Sostituisci il testo rosso.
[Unit] Description=OpenConnect VPN Client After=network-online.target Wants=network-online.target [Service] Type=simple ExecStart=/bin/bash -c '/bin/echo -n password | /usr/sbin/openconnect vpn.example.com -u username --passwd-on-stdin' KillSignal=SIGINT Restart=always RestartSec=2 [Install] WantedBy=multi-user.target
Salva e chiudi il file. Quindi abilita questo servizio in modo che si avvii all'avvio.
sudo systemctl enable openconnect.service
Spiegazione del contenuto del file:
After=network-online.targeteWants=network-online.targetesegui questo servizio dopo che la rete è attiva.- In realtà, questo servizio può ancora essere eseguito prima che la rete sia attiva. Aggiungiamo
Restart=alwayseRestartSec=2per riavviare questo servizio dopo 2 secondi se questo servizio non riesce. - Systemd non riconosce il reindirizzamento della pipe. Quindi in
ExecStartdirettiva, avvolgiamo il comando tra virgolette singole ed eseguiamolo con la shell Bash. - Poiché il client OpenConnect VPN verrà eseguito come un servizio systemd, che viene eseguito in background, non è necessario aggiungere
-bcontrassegnare suopenconnectcomando. - Il
KillSignalla direttiva dice a Systemd di inviare ilSIGINTsegnale quandosystemctl stop openconnectviene impartito il comando. Ciò eseguirà un arresto pulito disconnettendo la sessione e ripristinando le impostazioni del server DNS e la tabella di routing del kernel Linux.
Per avviare immediatamente questo servizio Systemd, esegui
sudo systemctl start openconnect
Per interrompere questo servizio Systemd, esegui
sudo systemctl stop openconnect
Riavvio automatico quando la connessione VPN si interrompe
A volte la connessione VPN si interrompeva per vari motivi. Per riavviare automaticamente il client VPN, modifica il file crontab dell'utente root.
sudo crontab -e
Aggiungi la seguente riga alla fine di questo file.
* * * * * ping -c 10 10.10.10.1 > /dev/null || systemctl restart openconnect
Questo processo Cron verrà eseguito ogni minuto per verificare se il client VPN può eseguire il ping dell'indirizzo IP privato del server VPN (10.10.10.1). Se il ping non riesce, il comando a destra verrà eseguito per riavviare il client VPN. || è l'operatore OR in Bash. Esegue il comando a destra solo se il comando a sinistra ha restituito un errore.
Salva e chiudi il file.
Velocità
OpenConnect VPN è piuttosto veloce. Posso usarlo per guardare video 4k su YouTube. Come puoi vedere, la velocità di connessione è 63356 Kbps , che si traduce in 61 Mbit/s .
Ed ecco i risultati del test su speedtest.net.
Ottimizzazione della velocità
OpenConnect per impostazione predefinita utilizza il protocollo TLS su UDP (DTLS) per ottenere una velocità maggiore, ma UDP non può fornire una trasmissione affidabile. TCP è più lento di UDP ma può fornire una trasmissione affidabile. Un consiglio per l'ottimizzazione che posso darti è disabilitare DTLS, utilizzare TLS standard (su TCP), quindi abilitare TCP BBR per aumentare la velocità TCP.
Per disabilitare DTLS, commentare (aggiungere il simbolo # all'inizio) la riga seguente nel file di configurazione ocserv.
udp-port = 443
Salva e chiudi il file. Quindi riavvia il servizio ocserv.
sudo systemctl restart ocserv.service
Per abilitare TCP BBR, dai un'occhiata al seguente tutorial. Nota che devi disabilitare DTLS in ocserv, altrimenti TCP BBR non funzionerà.
- Come aumentare facilmente le prestazioni della rete Debian abilitando TCP BBR
Nel mio test, TLS standard con TCP BBR abilitato è due volte più veloce di DTLS.
Un altro fattore molto importante che influisce sulla velocità è quanto è buona la connessione tra il tuo computer locale e il server VPN. Se vivi in Medio Oriente e il server VPN si trova negli Stati Uniti, la velocità sarebbe lenta. Scegli un data center vicino a dove vivi.
Rinnovo automatico del certificato Let's Encrypt
Modifica il file crontab dell'utente root.
sudo crontab -e
Aggiungi la riga seguente alla fine del file per eseguire il lavoro Cron ogni giorno. Se il certificato scadrà tra 30 giorni, certbot tenterà di rinnovare il certificato. È necessario riavviare il servizio ocserv affinché il server VPN raccolga il nuovo certificato e il file chiave.
@daily certbot renew --quiet && systemctl restart ocserv
Suggerimenti per la risoluzione dei problemi
Tieni presente che se stai utilizzando OpenVZ VPS, assicurati di abilitare il dispositivo di rete virtuale TUN nel pannello di controllo del VPS. (Se usi Vultr VPS, hai un VPS basato su KVM, quindi non devi preoccuparti di questo.)
In caso di problemi, controlla il registro del server VPN OpenConnect.
sudo journalctl -eu ocserv.service
Ho scoperto che se cambio la porta 443 con una porta diversa, il grande firewall cinese bloccherà questa connessione VPN.
Se ocserv ti dice che non può caricare il /etc/ocserv/ocserv.conf file, puoi interrompere ocserv.
sudo systemctl stop ocserv
Quindi eseguilo in primo piano con il debug abilitato.
sudo /usr/sbin/ocserv --foreground --pid-file /run/ocserv.pid --config /etc/ocserv/ocserv.conf --debug=10
Quindi l'output potrebbe darti alcuni indizi sul perché ocserv non funziona.
Fai in modo che OpenConnect VPN Server e Web Server utilizzino la porta 443 contemporaneamente
Si prega di leggere il seguente articolo:
- Esegui OpenConnect VPN Server e Apache/Nginx sulla stessa casella con HAProxy
Come disabilitare TLS 1.0 e TLS 1.1 in ocserv
Il consiglio PCI ha deprecato TLS 1.0 il 30 giugno 2018 e i browser Web mainstream disabiliteranno TLS 1.0 e TLS 1.1 nel 2020. Dovremmo fare lo stesso con il server VPN. Modifica il file di configurazione principale.
sudo nano /etc/ocserv/ocserv.conf
Trova la seguente riga:
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128"
Per disabilitare TLS 1.0 e TLS 1.1 nel server OpenConnect VPN, aggiungi semplicemente -VERS-TLS1.0 e -VERS-TLS1.1 nella riga.
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128:-VERS-TLS1.0:-VERS-TLS1.1"
Salva e chiudi il file. Quindi riavvia ocserv.
sudo systemctl restart ocserv
Ora ocserv accetterà solo TLS 1.3 e TLS 1.2. Per ulteriori informazioni sulla configurazione del parametro TLS in ocserv, vedere le stringhe di priorità di GnuTLS.
Per verificare se TLS 1.0 è supportato nel tuo server OpenConnect VPN, esegui il comando seguente.
openssl s_client -connect vpn.your-domain.com:443 -tls1
E controlla TLS 1.1
openssl s_client -connect vpn.your-domain.com:443 -tls1_1
Se nell'output viene visualizzato il seguente messaggio, significa che la versione TLS non è supportata.
New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported
Configurazione per utente o per gruppo
Ocserv consente configurazioni per utente e per gruppo. Per abilitare questa funzione, decommenta le seguenti due righe in /etc/ocserv/ocserv.conf file.
config-per-user = /etc/ocserv/config-per-user/ config-per-group = /etc/ocserv/config-per-group/
Salva e chiudi il file. Quindi crea la directory di configurazione per utente e per gruppo.
sudo mkdir /etc/ocserv/config-per-user/ /etc/ocserv/config-per-group/
Successivamente, puoi creare un file in queste due directory. Ad esempio, crea il user1 per consentire la configurazione personalizzata per user1 .
sudo nano /etc/ocserv/config-per-user/user1
Puoi anche creare il group1 per consentire la configurazione personalizzata per il gruppo denominato group1 .
sudo nano /etc/ocserv/config-per-group/group1
Puoi aggiungere qualcosa come sotto nel file.
route = 10.10.10.0/255.255.255.0
Ciò significa che dopo user1 connettiti a questo server VPN, invia solo il traffico al 10.10.10.0/24 la rete verrà instradata tramite il server VPN. Il traffico verso altri indirizzi IP viene instradato tramite il gateway originale. Questo è noto come tunneling diviso, utile quando:
- Vuoi solo che i client VPN siano in grado di navigare nelle risorse interne e non vuoi che tutto il traffico passi attraverso il server VPN.
- Devi creare una rete privata per i server cloud.
- Il client deve connettersi a più VPN. Una VPN potrebbe utilizzare il tunneling diviso e l'altra utilizzare un tunnel completo.
Salva e chiudi il file. Riavvia ocserv affinché le modifiche abbiano effetto.