Configura OpenConnect VPN Server (ocserv) su Debian 10 Buster

Questo tutorial ti mostrerà come eseguire il tuo server VPN installando il server VPN OpenConnect su Debian 10 Buster. Server VPN OpenConnect, noto anche come ocserv , è un'implementazione open source del protocollo Cisco AnyConnnect VPN, ampiamente utilizzato nelle aziende e nelle università. AnyConnect è un protocollo VPN basato su SSL che consente ai singoli utenti di connettersi a una rete remota.

Perché configurare il tuo server VPN?

• Forse sei un provider di servizi VPN o un amministratore di sistema, che ti conviene configurare il tuo server VPN.
• Non ti fidi della politica di non registrazione dei fornitori di servizi VPN, quindi segui la strada dell'host autonomo.
• Puoi utilizzare la VPN per implementare la politica di sicurezza della rete. Ad esempio, se gestisci il tuo server di posta elettronica, puoi richiedere agli utenti di accedere solo dall'indirizzo IP del server VPN creando una whitelist di indirizzi IP nel firewall. Pertanto, il tuo server di posta elettronica è protetto per prevenire attività di hacking.
• Forse sei solo curioso di sapere come funziona il server VPN.

Caratteristiche del server VPN OpenConnect

• Leggero e veloce. Nel mio test, posso guardare i video 4K di YouTube con OpenConnect VPN. YouTube è bloccato nel mio paese (Cina).
• Funziona su Linux e sulla maggior parte dei server BSD.
• Compatibile con il client Cisco AnyConnect
• Esiste il software client OpenConnect per Linux, macOS, Windows e OpenWRT. Per Android e iOS, puoi utilizzare Cisco AnyConnect Client.
• Supporta l'autenticazione della password e l'autenticazione del certificato
• Supporta la contabilità RADIUS.
• Facile da configurare

Mi piace particolarmente il fatto che, rispetto ad altre tecnologie VPN, sia molto facile e conveniente per l'utente finale utilizzare OpenConnect VPN. Ogni volta che installo una distribuzione Linux sul mio computer e voglio sbloccare rapidamente siti Web o nascondere il mio indirizzo IP, installo il client OpenConnect e mi collego al server con solo due righe di comandi:

sudo apt install openconnect

sudo openconnect -b vpn.mydomain.com

C'è anche il client VPN OpenConnect per Fedora, RHEL, CentOS, Arch Linux e OpenSUSE. Puoi installarlo facilmente con il tuo gestore di pacchetti.

sudo dnf install openconnect
sudo yum install openconnect
sudo pacman -S openconnect

Requisiti

Per seguire questo tutorial, avrai bisogno di un VPS (Virtual Private Server) che possa accedere liberamente ai siti web bloccati (fuori dal tuo paese o sistema di filtraggio Internet). Raccomando Kamatera VPS, che include:

• 30 giorni di prova gratuita.
• A partire da $ 4 al mese (1 GB di RAM)
• VPS basato su KVM ad alte prestazioni
• 9 data center in tutto il mondo, inclusi Stati Uniti, Canada, Regno Unito, Germania, Paesi Bassi, Hong Kong e Israele.

Segui il tutorial collegato di seguito per creare il tuo server VPS Linux su Kamatera.

• Come creare un server VPS Linux su Kamatera

Una volta che hai un VPS che esegue Debian 10 buster, segui le istruzioni seguenti.

È inoltre necessario un nome di dominio per abilitare HTTPS per OpenConnect VPN. Ho registrato il mio nome di dominio da NameCheap perché il prezzo è basso e offrono protezione della privacy a Whois gratuita per tutta la vita.

Passaggio 1:installa OpenConnect VPN Server su Debian 10 Buster

Accedi al tuo server Debian 10 Buster tramite SSH. Quindi usa apt per installare ocserv pacchetto dal repository Debian.

sudo apt update
sudo apt install ocserv

Una volta installato, il server OpenConnect VPN viene avviato automaticamente. Puoi verificarne lo stato con:

systemctl status ocserv

Esempio di output:

● ocserv.service - OpenConnect SSL VPN server
   Loaded: loaded (/lib/systemd/system/ocserv.service; enabled; vendor preset: enabled
   Active: active (running) since Thu 2017-11-30 05:45:07 UTC; 11s ago
     Docs: man:ocserv(8)
 Main PID: 19235 (ocserv-main)
   CGroup: /system.slice/ocserv.service
           ├─19235 ocserv-main                                                  
           └─19242 ocserv-secm 

Suggerimento:se il comando precedente non si chiude immediatamente, puoi premere il tasto Q per riprendere il controllo del terminale.

Se non è in esecuzione, puoi avviarlo con:

sudo systemctl start ocserv

Per impostazione predefinita, il server VPN OpenConnect è in ascolto sulla porta TCP e UDP 443. Se viene utilizzato dal server Web, il server VPN non può essere avviato. Vedremo come modificare la porta nel file di configurazione di OpenConnect VPN in seguito.

Se è presente un firewall in esecuzione sul tuo server, dovrai aprire le porte 80 e 443. Ad esempio, se utilizzi UFW, esegui i seguenti comandi.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Fase 2:installa Let's Encrypt Client (Certbot) su Debian 10 Buster Server

Il gnutls-bin pacchetto installato insieme a ocserv fornisce strumenti per creare la tua CA e il tuo certificato server, ma otterremo e installeremo il certificato Let's Encrypt. Il vantaggio dell'utilizzo del certificato Let's Encrypt è che è gratuito, più facile da configurare e considerato affidabile dal software client VPN.

Esegui i seguenti comandi per installare il client Let's Encrypt (certbot) su Debian 10.

sudo apt install certbot

Per controllare il numero di versione, esegui

certbot --version

Esempio di output:

certbot 0.31.0

Fase 3:ottieni un certificato TLS affidabile da Let's Encrypt

Consiglio di utilizzare il standalone o webroot plug-in per ottenere il certificato TLS.

Plugin autonomo

Se non è presente alcun server Web in esecuzione sul server Debian 10 Buster e si desidera che il server OpenConnect VPN utilizzi la porta 443, è possibile utilizzare il plug-in autonomo per ottenere il certificato TLS da Let's Encrypt. Imposta il record DNS A per vpn.tuodominio.com sul sito Web del registrar di domini, quindi esegui il comando seguente per ottenere il certificato.

sudo certbot certonly --standalone --preferred-challenges http --agree-tos --email [email protected] -d vpn.example.com

Spiegazione:

• certonly :Ottieni un certificato ma non installarlo.
• --standalone :usa il plugin standalone per ottenere un certificato
• --preferred-challenges http :esegui la verifica http-01 per convalidare il nostro dominio, che utilizzerà la porta 80.
• --agree-tos :Accetta i termini di servizio di Let's Encrypt.
• --email :l'indirizzo e-mail viene utilizzato per la registrazione e il recupero dell'account.
• -d :Specifica il tuo nome di dominio.

Come puoi vedere dallo screenshot seguente, ho ottenuto con successo il certificato.

Utilizzo del plug-in webroot

Se il tuo server Debian 10 Buster ha un server web in ascolto sulle porte 80 e 443, allora è una buona idea usare il plugin webroot per ottenere un certificato perché il plugin webroot funziona praticamente con tutti i server web e non è necessario installarlo il certificato nel server web.

Innanzitutto, devi creare un host virtuale per vpn.example.com.

Apache

Se stai utilizzando il server Web Apache, crea un host virtuale in /etc/apache2/sites-available/ directory.

sudo nano /etc/apache2/sites-available/vpn.example.com.conf

E incolla le seguenti righe nel file.

<VirtualHost *:80>        
        ServerName vpn.example.com

        DocumentRoot /var/www/ocserv
</VirtualHost>

Salva e chiudi il file. Quindi crea la directory principale web.

sudo mkdir /var/www/ocserv

Imposta www-data (utente Apache) come proprietario della radice web.

sudo chown www-data:www-data /var/www/ocserv -R

Abilita questo host virtuale.

sudo a2ensite vpn.example.com

Ricarica Apache per rendere effettive le modifiche.

sudo systemctl reload apache2

Una volta creato e abilitato l'host virtuale, esegui il comando seguente per ottenere il certificato Let's Encrypt utilizzando il plug-in webroot.

sudo certbot certonly --webroot --agree-tos --email [email protected] -d vpn.example.com -w /var/www/ocserv/

Nginx

Se stai utilizzando il server web Nginx, crea un host virtuale in /etc/nginx/conf.d/ .

sudo nano /etc/nginx/conf.d/vpn.example.com.conf

Incolla le seguenti righe nel file.

server {
      listen 80;
      server_name vpn.example.com;

      root /var/www/ocserv/;

      location ~ /.well-known/acme-challenge {
         allow all;
      }
}

Salva e chiudi il file. Quindi crea la directory principale web.

sudo mkdir /var/www/ocserv

Imposta www-data (utente Nginx) come proprietario della radice web.

sudo chown www-data:www-data /var/www/ocserv -R

Ricarica Nginx per rendere effettive le modifiche.

sudo systemctl reload nginx

Una volta creato e abilitato l'host virtuale, esegui il comando seguente per ottenere il certificato Let's Encrypt utilizzando il plug-in webroot.

sudo certbot certonly --webroot --agree-tos --email [email protected] -d vpn.example.com -w /var/www/ocserv/

Fase 4:modifica il file di configurazione del server VPN OpenConnect

Modifica il file di configurazione di ocserv.

sudo nano /etc/ocserv/ocserv.conf

Innanzitutto, configura l'autenticazione della password. Per impostazione predefinita, è abilitata l'autenticazione della password tramite PAM (Pluggable Authentication Modules), che consente di utilizzare gli account di sistema Debian per accedere dai client VPN. Questo comportamento può essere disabilitato commentando la riga seguente.

auth = "pam[gid-min=1000]"

Se desideriamo che gli utenti utilizzino account VPN separati anziché account di sistema per l'accesso, è necessario aggiungere la riga seguente per abilitare l'autenticazione della password con un file di password.

auth = "plain[passwd=/etc/ocserv/ocpasswd]"

Dopo aver finito di modificare questo file di configurazione, vedremo come usare ocpasswd strumento per generare il /etc/ocserv/ocpasswd file, che contiene un elenco di nomi utente e password codificate.

Nota :Ocserv supporta l'autenticazione del certificato client, ma Let's Encrypt non emette il certificato client. Se desideri abilitare l'autenticazione del certificato, devi configurare la tua CA per l'emissione del certificato client.

Quindi, se non desideri che ocserv utilizzi la porta TCP e UDP 443 (c'è un server Web che utilizza la porta 443), trova le due righe seguenti e modifica il numero di porta. Altrimenti lasciali soli.

tcp-port = 443
udp-port = 443

Quindi trova le due righe seguenti. Dobbiamo cambiarli.

server-cert = /etc/ssl/certs/ssl-cert-snakeoil.pem
server-key = /etc/ssl/private/ssl-cert-snakeoil.key

Sostituisci l'impostazione predefinita con il percorso del certificato del server Let's Encrypt e il file della chiave del server.

server-cert = /etc/letsencrypt/live/vpn.example.com/fullchain.pem
server-key = /etc/letsencrypt/live/vpn.example.com/privkey.pem

Quindi, imposta il numero massimo di client. Il valore predefinito è 128. Impostato su zero per illimitato.

max-clients = 128

Imposta il numero di dispositivi da cui un utente può accedere contemporaneamente. Il valore predefinito è 2. Impostato su zero per illimitato.

max-same-clients = 2

Per impostazione predefinita, i pacchetti keep-alive vengono inviati ogni 300 secondi (5 minuti). Preferisco utilizzare un tempo breve (30 secondi) per ridurre la possibilità di interruzione della connessione VPN.

keepalive = 30

Quindi, trova la riga seguente. Cambia false su true per abilitare il rilevamento MTU.

try-mtu-discovery = false

È possibile impostare il tempo in cui un client può rimanere inattivo prima di essere disconnesso tramite i due parametri seguenti. Se preferisci che il client rimanga connesso indefinitamente, commenta questi due parametri.

idle-timeout=1200
mobile-idle-timeout=1800

Successivamente, imposta il dominio predefinito su vpn.example.com.

default-domain = vpn.example.com

La configurazione della rete IPv4 è la seguente per impostazione predefinita. Ciò causerà problemi perché la maggior parte dei router domestici imposta anche l'intervallo di rete IPv4 su 192.168.1.0/24 .

ipv4-network = 192.168.1.0
ipv4-netmask = 255.255.255.0

Possiamo utilizzare un altro intervallo di indirizzi IP privati ​​(come 10.10.10.0/24) per evitare la collisione di indirizzi IP, quindi cambia il valore di ipv4-network a

ipv4-network = 10.10.10.0

Ora decommenta la riga seguente per eseguire il tunneling di tutte le query DNS tramite la VPN.

tunnel-all-dns = true

Modifica l'indirizzo del risolutore DNS. Puoi utilizzare il server DNS pubblico di Google.

dns = 8.8.8.8
dns = 8.8.4.4

o il server DNS pubblico di Cloudflare.

dns = 1.1.1.1
dns = 1.0.0.1

Nota :Se sei un provider di servizi VPN, è buona norma eseguire il tuo risolutore DNS. Se è presente un resolver DNS in esecuzione sullo stesso server, specifica il DNS come

dns = 10.10.10.1

10.10.10.1 è l'indirizzo IP del server OpenConnect VPN nella VPN LAN. Ciò accelererà un po' le ricerche DNS per i client perché viene eliminata la latenza di rete tra il server VPN e il risolutore DNS.

Quindi commenta tutti i parametri del percorso (aggiungi il carattere # all'inizio delle righe seguenti), che imposterà il server come gateway predefinito per i client.

#route = 10.0.0.0/8
#route = 172.16.0.0/12
#route = 192.168.0.0/16
#route = fd00::/8
#route = default

#no-route = 192.168.5.0/255.255.255.0

Salva e chiudi il file Quindi riavvia il server VPN per rendere effettive le modifiche.

sudo systemctl restart ocserv

Fase 5:creazione di account VPN

Ora usa lo strumento ocpasswd per generare account VPN.

sudo ocpasswd -c /etc/ocserv/ocpasswd username

Ti verrà chiesto di impostare una password per l'utente e le informazioni verranno salvate in /etc/ocserv/ocpasswd file. Per reimpostare la password, esegui nuovamente il comando precedente.

Passaggio 6:abilita l'inoltro IP nel kernel Linux

Affinché il server VPN instrada i pacchetti tra il client VPN e Internet, è necessario abilitare l'inoltro IP. Modifica sysctl.conf file.

sudo nano /etc/sysctl.conf

Aggiungi la seguente riga alla fine di questo file.

net.ipv4.ip_forward = 1

Salva e chiudi il file. Quindi applica le modifiche con il comando seguente. Il -p l'opzione caricherà le impostazioni di sysctl da /etc/sysctl.conf file. Questo comando conserverà le nostre modifiche durante i riavvii del sistema.

sudo sysctl -p

Passaggio 7:Configura IP Masquerading in Firewall

Abbiamo bisogno di impostare il mascheramento IP nel firewall del server, in modo che il server diventi un router virtuale per i client VPN. Userò UFW, che è un front-end per il firewall iptables. Installa UFW su Debian con:

sudo apt install ufw

Innanzitutto, devi consentire il traffico SSH.

sudo ufw allow 22/tcp

Quindi, trova il nome dell'interfaccia di rete principale del tuo server.

ip addr

Come puoi vedere, si chiama ens3 sul mio server Debian.

Per configurare il mascheramento IP, dobbiamo aggiungere il comando iptables in un file di configurazione UFW.

sudo nano /etc/ufw/before.rules

Per impostazione predefinita, ci sono alcune regole per il filter tavolo. Aggiungi le seguenti righe alla fine di questo file. Sostituisci ens3 con il tuo nome di interfaccia di rete.

# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.10.10.0/24 -o ens3 -j MASQUERADE

# End each table with the 'COMMIT' line or these rules won't be processed
COMMIT

Nell'editor di testo Nano, puoi andare alla fine del file premendo Ctrl+W , quindi premendo Ctrl+V .

Le righe precedenti verranno aggiunte (-A ) una regola fino alla fine di POSTROUTING catena di nat tavolo. Collegherà la tua rete privata virtuale con Internet. E nascondi anche la tua rete dal mondo esterno. Quindi Internet può vedere solo l'IP del tuo server VPN, ma non può vedere l'IP del tuo client VPN, proprio come il tuo router domestico nasconde la tua rete domestica privata.

Per impostazione predefinita, UFW vieta l'inoltro dei pacchetti. Possiamo consentire l'inoltro per la nostra rete privata. Trova il ufw-before-forward catena in questo file e aggiungi le seguenti 3 righe, che accetteranno l'inoltro di pacchetti se l'IP di origine o di destinazione è nel 10.10.10.0/24 intervallo.

# allow forwarding for trusted network
-A ufw-before-forward -s 10.10.10.0/24 -j ACCEPT
-A ufw-before-forward -d 10.10.10.0/24 -j ACCEPT

Salva e chiudi il file. Quindi abilita UFW.

sudo ufw enable

Se hai abilitato UFW in precedenza, puoi utilizzare systemctl per riavviare UFW.

sudo systemctl restart ufw

Ora se elenchi le regole nella catena POSTROUTING della tabella NAT usando il seguente comando:

sudo iptables -t nat -L POSTROUTING

Puoi vedere la regola della Masquerade.

Potrebbe volerci del tempo prima che UFW elabori le regole del firewall. Se la regola della mascherata non viene visualizzata, riavvia nuovamente UFW (sudo systemctl restart ufw ).

Fase 8:apri la porta 443 nel firewall

Esegui il comando seguente per aprire la porta TCP e UDP 443. Se hai configurato una porta diversa per ocserv, cambia 443 nella porta configurata.

sudo ufw allow 443/tcp
sudo ufw allow 443/udp

Ora il server OpenConnect VPN è pronto per accettare le connessioni client.

Per quelli di voi che utilizzano un resolver DNS locale, se avete specificato 10.10.10.1 come server DNS per i client VPN, dovete consentire ai client VPN di connettersi alla porta 53 con la seguente regola UFW.

sudo ufw insert 1 allow in from 10.10.10.0/24

Devi anche modificare la configurazione del server DNS BIND per consentire ai client VPN di inviare query DNS ricorsive come di seguito.

allow-recursion { 127.0.0.1; 10.10.10.0/24; };

Come installare e utilizzare il client VPN OpenConnect su Debian 10 Buster Desktop

Eseguire il comando seguente per installare il client della riga di comando OpenConnect VPN sul desktop Debian.

sudo apt install openconnect

Puoi connetterti a VPN dalla riga di comando come di seguito. -b flag lo farà funzionare in background dopo che la connessione è stata stabilita.

sudo openconnect -b vpn.example.com

Per impostazione predefinita, il client openconnect contatterà la porta 443 del server. Se hai configurato una porta diversa per il server, puoi aggiungere il numero di porta.

sudo openconnect -b vpn.example.com:port-number

Ti verrà chiesto di inserire nome utente e password VPN. Se la connessione viene stabilita correttamente, vedrai il seguente messaggio.

Got CONNECT response: HTTP/1.1 200 CONNECTED
CSTP connected. DPD 60, Keepalive 300
Connected as 10.10.10.139, using SSL + LZ4, with DTLS + LZ4 in progress
Continuing in background; pid 17050

Se la connessione non riesce, puoi controllare il registro ocserv per scoprire il motivo. (Forse non hai inserito correttamente la password.)

sudo journaltcl -eu ocserv

Per interrompere la connessione, esegui:

sudo pkill openconnect

Per eseguire il client in modo non interattivo, utilizza la seguente sintassi.

echo -n password | sudo openconnect -b vpn.example.com -u username --passwd-on-stdin

Se desideri utilizzare Network Manager per gestire la connessione VPN, devi installare questi pacchetti.

sudo apt install network-manager-openconnect network-manager-openconnect-gnome

Se sei connesso correttamente al server VPN, ma il tuo indirizzo IP pubblico non cambia, è perché l'inoltro IP o il mascheramento IP non funzionano. Una volta ho avuto un errore di battitura nel mio comando iptables, che ha impedito al mio computer di navigare in Internet.

Connessione automatica all'avvio del sistema

Per consentire al client OpenConnect VPN di connettersi automaticamente al server all'avvio, possiamo creare un'unità di servizio systemd.

sudo nano /etc/systemd/system/openconnect.service

Inserisci le seguenti righe nel file. Sostituisci il testo rosso.

[Unit]
  Description=OpenConnect VPN Client
  After=network-online.target
  Wants=network-online.target

[Service]
  Type=simple
  ExecStart=/bin/bash -c '/bin/echo -n password | /usr/sbin/openconnect vpn.example.com -u username --passwd-on-stdin'
  KillSignal=SIGINT
  Restart=always
  RestartSec=2

[Install]
  WantedBy=multi-user.target

Salva e chiudi il file. Quindi abilita questo servizio in modo che si avvii all'avvio.

sudo systemctl enable openconnect.service

Spiegazione del contenuto del file:

• After=network-online.target e Wants=network-online.target esegui questo servizio dopo che la rete è attiva.
• In realtà, questo servizio può ancora essere eseguito prima che la rete sia attiva. Aggiungiamo Restart=always e RestartSec=2 per riavviare questo servizio dopo 2 secondi se questo servizio non riesce.
• Systemd non riconosce il reindirizzamento della pipe. Quindi in ExecStart direttiva, avvolgiamo il comando tra virgolette singole ed eseguiamolo con la shell Bash.
• Poiché il client OpenConnect VPN verrà eseguito come un servizio systemd, che viene eseguito in background, non è necessario aggiungere -b contrassegnare su openconnect comando.
• Il KillSignal la direttiva dice a Systemd di inviare il SIGINT segnale quando systemctl stop openconnect viene impartito il comando. Ciò eseguirà un arresto pulito disconnettendo la sessione e ripristinando le impostazioni del server DNS e la tabella di routing del kernel Linux.

Per avviare immediatamente questo servizio Systemd, esegui

sudo systemctl start openconnect

Per interrompere questo servizio Systemd, esegui

sudo systemctl stop openconnect

Riavvio automatico quando la connessione VPN si interrompe

A volte la connessione VPN si interrompeva per vari motivi. Per riavviare automaticamente il client VPN, modifica il file crontab dell'utente root.

sudo crontab -e

Aggiungi la seguente riga alla fine di questo file.

* * * * * ping -c 10 10.10.10.1 > /dev/null || systemctl restart openconnect

Questo processo Cron verrà eseguito ogni minuto per verificare se il client VPN può eseguire il ping dell'indirizzo IP privato del server VPN (10.10.10.1). Se il ping non riesce, il comando a destra verrà eseguito per riavviare il client VPN. || è l'operatore OR in Bash. Esegue il comando a destra solo se il comando a sinistra ha restituito un errore.

Salva e chiudi il file.

Client GUI OpenConnect per Windows e MacOS

Possono essere scaricati dalla pagina Github della GUI di OpenConnect.

Velocità

OpenConnect VPN è piuttosto veloce. Posso usarlo per guardare video 4k su YouTube. Come puoi vedere, la velocità di connessione è 63356 Kbps , che si traduce in 61 Mbit/s .

Ed ecco i risultati del test su speedtest.net.

Ottimizzazione della velocità

OpenConnect per impostazione predefinita utilizza il protocollo TLS su UDP (DTLS) per ottenere una velocità maggiore, ma UDP non può fornire una trasmissione affidabile. TCP è più lento di UDP ma può fornire una trasmissione affidabile. Un consiglio per l'ottimizzazione che posso darti è disabilitare DTLS, utilizzare TLS standard (su TCP), quindi abilitare TCP BBR per aumentare la velocità TCP.

Per disabilitare DTLS, commentare (aggiungere il simbolo # all'inizio) la riga seguente nel file di configurazione ocserv.

udp-port = 443

Salva e chiudi il file. Quindi riavvia il servizio ocserv.

sudo systemctl restart ocserv.service

Per abilitare TCP BBR, dai un'occhiata al seguente tutorial. Nota che devi disabilitare DTLS in ocserv, altrimenti TCP BBR non funzionerà.

• Come aumentare facilmente le prestazioni della rete Debian abilitando TCP BBR

Nel mio test, TLS standard con TCP BBR abilitato è due volte più veloce di DTLS.

Un altro fattore molto importante che influisce sulla velocità è quanto è buona la connessione tra il tuo computer locale e il server VPN. Se vivi in ​​Medio Oriente e il server VPN si trova negli Stati Uniti, la velocità sarebbe lenta. Scegli un data center vicino a dove vivi.

Rinnovo automatico del certificato Let's Encrypt

Modifica il file crontab dell'utente root.

sudo crontab -e

Aggiungi la riga seguente alla fine del file per eseguire il lavoro Cron ogni giorno. Se il certificato scadrà tra 30 giorni, certbot tenterà di rinnovare il certificato. È necessario riavviare il servizio ocserv affinché il server VPN raccolga il nuovo certificato e il file chiave.

@daily certbot renew --quiet && systemctl restart ocserv

Suggerimenti per la risoluzione dei problemi

Tieni presente che se stai utilizzando OpenVZ VPS, assicurati di abilitare il dispositivo di rete virtuale TUN nel pannello di controllo del VPS. (Se usi Kamatera VPS, hai un VPS basato su KVM, quindi non devi preoccuparti di questo.)

In caso di problemi, controlla il registro del server VPN OpenConnect.

sudo journalctl -eu ocserv.service

Ho scoperto che se cambio la porta 443 con una porta diversa, il grande firewall cinese bloccherà questa connessione VPN.

Se ocserv ti dice che non può caricare il /etc/ocserv/ocserv.conf file, puoi interrompere ocserv.

sudo systemctl stop ocserv

Quindi eseguilo in primo piano con il debug abilitato.

sudo /usr/sbin/ocserv --foreground --pid-file /run/ocserv.pid --config /etc/ocserv/ocserv.conf --debug=10

Quindi l'output potrebbe darti alcuni indizi sul perché ocserv non funziona.

Fai in modo che OpenConnect VPN Server e Web Server utilizzino la porta 443 contemporaneamente

Si prega di leggere il seguente articolo:

• Esegui OpenConnect VPN Server e Apache/Nginx sulla stessa casella con HAProxy

Come disabilitare TLS 1.0 e TLS 1.1 in ocserv

Il consiglio PCI ha deprecato TLS 1.0 il 30 giugno 2018 e i browser Web mainstream disabiliteranno TLS 1.0 e TLS 1.1 nel 2020. Dovremmo fare lo stesso con il server VPN. Modifica il file di configurazione principale.

sudo nano /etc/ocserv/ocserv.conf

Trova la riga seguente:

tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128"

Per disabilitare TLS 1.0 e TLS 1.1 nel server OpenConnect VPN, aggiungi semplicemente -VERS-TLS1.0 e -VERS-TLS1.1 nella riga.

tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128:-VERS-TLS1.0:-VERS-TLS1.1"

Salva e chiudi il file. Quindi riavvia ocserv.

sudo systemctl restart ocserv

Ora ocserv accetterà solo TLS 1.3 e TLS 1.2. Per ulteriori informazioni sulla configurazione del parametro TLS in ocserv, vedere le stringhe di priorità di GnuTLS.

Per verificare se TLS 1.0 è supportato nel tuo server OpenConnect VPN, esegui il comando seguente.

openssl s_client -connect vpn.your-domain.com:443 -tls1

E controlla TLS 1.1

openssl s_client -connect vpn.your-domain.com:443 -tls1_1

Se nell'output viene visualizzato il seguente messaggio, significa che la versione TLS non è supportata.

New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported

Configurazione per utente o per gruppo

Ocserv consente configurazioni per utente e per gruppo. Per abilitare questa funzione, decommenta le seguenti due righe in /etc/ocserv/ocserv.conf file.

config-per-user = /etc/ocserv/config-per-user/
config-per-group = /etc/ocserv/config-per-group/

Salva e chiudi il file. Quindi crea la directory di configurazione per utente e per gruppo.

sudo mkdir /etc/ocserv/config-per-user/
sudo mkdir /etc/ocserv/config-per-group/

Successivamente, puoi creare un file in queste due directory. Ad esempio, crea il user1 per consentire la configurazione personalizzata per user1 .

sudo nano /etc/ocserv/config-per-user/user1

Puoi anche creare il group1 per consentire la configurazione personalizzata per il gruppo denominato group1 .

sudo nano /etc/ocserv/config-per-group/group1

Puoi aggiungere qualcosa come sotto nel file.

route = 10.10.10.0/255.255.255.0

Ciò significa che dopo user1 connettiti a questo server VPN, invia solo il traffico al 10.10.10.0/24 la rete verrà instradata tramite il server VPN. Il traffico verso altri indirizzi IP viene instradato tramite il gateway originale. Questo è noto come tunneling diviso, utile quando:

• Vuoi solo che i client VPN siano in grado di navigare nelle risorse interne e non vuoi che tutto il traffico passi attraverso il server VPN.
• Devi creare una rete privata per i server cloud.
• Il client deve connettersi a più VPN. Una VPN potrebbe utilizzare il tunneling diviso e l'altra utilizzare un tunnel completo.

Salva e chiudi il file. Riavvia ocserv affinché le modifiche abbiano effetto.

Come eseguire più istanze di ocserv

Un processo ocserv può collegarsi a una sola porta TCP o UDP sul tuo server. Se si desidera consentire a ocserv di collegarsi a più porte TCP o UDP, è necessario eseguire più processi ocserv. È molto semplice. Copia il /lib/systemd/system/ocserv.service in un nuovo file.

sudo cp /lib/systemd/system/ocserv.service /etc/systemd/system/ocserv2.service

Quindi modifica il nuovo file.

sudo nano /etc/systemd/system/ocserv2.service

Cambia

/etc/ocserv/ocserv.conf

a

/etc/ocserv/ocserv2.conf

Salva e chiudi il file. Successivamente, puoi modificare il /etc/ocserv/ocserv2.conf file e aggiungi le tue configurazioni personalizzate. Al termine, avvia il secondo servizio ocserv.

sudo systemctl start ocserv2