• %user%
logotype
SysOps
  • Главная
  • Новости
  • О проекте
  • Контакты

  • RHEL
  • Ubuntu
  • TCP/IP
  • DNS
  • Containers
  • Cloud
  • Nginx
  • LAMP Stack
  • LEMP Stack
  • SQL
  • Zabbix
  • Netfilter

Поднимаем SSL VPN OpenConnect с Let's Encrypt в Ubuntu 20.04


OpenConnect VPN server (ocserv) — это бесплатная реализация протокола Cisco AnyConnnect VPN с открытым исходным кодом. AnyConnect — это протокол VPN на основе SSL, который позволяет пользователям подключаться к удаленной сети.

Могут оказаться полезными следующие статьи:
  • Получаем валидные сертификаты SSL от Let's Encrypt для NGINX
  • Настройка файрвола iptables в CentOS 8 / RHEL 8

Устанавливаем необходимые пакеты:
apt update
apt install ocserv certbot -y

Проверяем статус службы ocserv:
systemctl status ocserv

Получаем сертификат от Let's Encrypt:
certbot certonly --standalone --preferred-challenges http --agree-tos --email [email protected] -d vpn.newsite.com

Проверяем наличие сертификата в директории:
ls -l /etc/letsencrypt/live/

Редактируем основной конфиг ocserv:
vi /etc/ocserv/ocserv.conf
auth = "plain[passwd=/etc/ocserv/ocpasswd]"
tcp-port = 443
udp-port = 443
run-as-user = nobody
run-as-group = daemon
socket-file = /run/ocserv.socket
server-cert = /etc/letsencrypt/live/vpn.newsite.com/fullchain.pem
server-key = /etc/letsencrypt/live/vpn.newsite.com/privkey.pem
isolate-workers = true
max-clients = 30
max-same-clients = 2
server-stats-reset-time = 604800
keepalive = 300
dpd = 60
mobile-dpd = 300
switch-to-tcp-timeout = 25
try-mtu-discovery = true
cert-user-oid = 0.9.2342.19200300.100.1.1
compression = true
no-compress-limit = 256
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128"
auth-timeout = 240
idle-timeout = 1200
mobile-idle-timeout = 1800
min-reauth-time = 300
max-ban-score = 80
ban-reset-time = 300
cookie-timeout = 300
deny-roaming = false
rekey-time = 172800
rekey-method = ssl
use-occtl = true
pid-file = /run/ocserv.pid
device = vpns
predictable-ips = true
default-domain = newsite.com
ipv4-network = 192.168.100.0
ipv4-netmask = 255.255.255.224
tunnel-all-dns = true
dns = 8.8.8.8
dns = 1.1.1.1
ping-leases = false
route = default
cisco-client-compat = true
dtls-legacy = true

Создадим учетную запись для пользователя user1:
ocpasswd -c /etc/ocserv/ocpasswd user1

Включаем пересылку пакетов между интерфейсами:
sysctl net.ipv4.ip_forward=1
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf

Настроим трансляцию адресов на основе источника SNAT:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.0/27 -j SNAT --to 1.2.3.4

Проверяем изменения на наличие ошибок:
ocserv -t

Перезапускаем службу ocserv:
systemctl restart ocserv

  • Комментарии
  • О статье
  • Похожие новости
У данной публикации нет комментариев.

sobir

Автор

6-05-2021, 20:06

Дата пуликации

Ubuntu

Категория
  • Комментариев: 0
  • Просмотров: 758
RHEL / Ubuntu / Nginx
Получаем валидные сертификаты SSL от Let's Encrypt для NGINX
RHEL / Nginx
Настройка обратного прокси сервера NGINX с SSL-терминацией в CentOS 8 / RHEL 8
RHEL
Настройка NFS хранилища в CentOS 8 / RHEL 8
RHEL / DNS
Настройка авторитетного DNS сервера BIND в CentOS 8 / RHEL 8
Ubuntu
Оптимизация работы Ubuntu Desktop 20.04 LTS
Написать комментарий
Имя:*
E-Mail:

  • Смайлы и люди
    Животные и природа
    Еда и напитки
    Активность
    Путешествия и места
    Предметы
    Символы
    Флаги

Комментарии
Nice post. I was checking constantly this blog and I am impressed!
Extremely helpful information particularly the last part :) I care for
such info a lot. I was looking for this particular information for a long
time. Thank you and best of luck.

my web blog -
A片網站
4 июня 2022 03:29

Hannah

Принудительное обновление сертификата:

certbot certonly --force-renew -d newsite.com
17 октября 2021 11:40

sobir

Получаем SSL сертификат с помощью плагина nginx:

certbot certonly --nginx -d newsite.com -d www.newsite.com
7 августа 2021 15:35

sobir

Можно, но я решил описать процесс копирования ключей более подробно.
3 июля 2021 14:19

sobir

Или можно просто командой ssh-copy-id [email protected]_host добавить публичный ключ на удалённый сервер.
30 июня 2021 15:26

dsharipov

Какой дистрибутив Linux вы часто используете?
Реклама
1 посетитель на сайте. Из них:
Гости1
© 2020 SysOps Яндекс.Метрика

Авторизация

Регистрация Забыли пароль?