专栏首页运维笔记CentOS7使用Ocser一键搭建CiscoAnyconnect服务器
原创

CentOS7使用Ocser一键搭建CiscoAnyconnect服务器

作者: 黄高明undefined日期: 2019-06-14undefined类别: V**系列undefined标题: CentOS7使用Ocserv搭建CiscoAnyconnect服务器

介绍

AnyConnect作为Cisco专有技术,其服务端只能运行在Cisco设备上,即如果没有购买Cisco相关设备,将无法使用AnyConnect服务端。而OpenConnect(ocserv)的出现解决了这一个问题,OpenConnect是一个开源项目,其目标是在相对廉价的linux设备上运行与AnyConnect协议兼容的服务端,以此来使用该协议而不需要购买Cisco专有设备。

AnyConnect目前支持 Windows 7+ / Android / IOS / Mac ,其他设备没有客户端所以无法使用,例如 XP系统。

OpenConnect特点:

  • 我们需要的是安全内网访问,不是快速地绕过防火墙… 而且后期需要加入证书认证
  • OpenV** 协议特征过于明显,虽然 AnyConnect 协议特征也十分明显,但是由于目前只有一些大厂在用,一般而言直接拨位与海外的 V** 网关不容易受到干扰或受到的干扰较小
  • 对于例如 iOS/BlackBerry BBOS 系统而言,一般自带 AnyConnect 连接工具
  • 多系统支持,Windows 7+ / Android / IOS / Mac

部署

请撮:https://www.pvcreate.com/index.php/archives/193/

配置

主配置文件

/etc/ocserv/ocserv.conf

注意以上一键部署脚本会自动添加route配置,如果你想连接上anyconnect之后,全部流量都走V**的话,请注释该配置文件以route开头的配置。如果只有部分网段走V**的话,可以自行配置。比如连接上V**之后,只有访问公司192.168.0.0/25网段才走V**,可以在该配置文件之后添加 route=192.168.0.0/255.255.255.0auth = "plainpasswd=/etc/ocserv/ocpasswd" tcp-port = 443 udp-port = 443 run-as-user = ocserv run-as-group = ocserv socket-file = ocserv.sock chroot-dir = /var/lib/ocserv isolate-workers = true max-clients = 1024 max-same-clients = 10 keepalive = 32400 dpd = 90 mobile-dpd = 1800 switch-to-tcp-timeout = 25 try-mtu-discovery = false server-cert = /etc/pki/ocserv/public/server.crt server-key = /etc/pki/ocserv/private/server.key tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0" auth-timeout = 240 min-reauth-time = 300 max-ban-score = 50 ban-reset-time = 300 cookie-timeout = 86400 deny-roaming = false rekey-time = 172800 rekey-method = ssl use-occtl = true pid-file = /var/run/ocserv.pid device = V**s predictable-ips = true ipv4-network = 192.168.8.0/21 dns = 8.8.8.8 dns = 8.8.4.4 ping-leases = false cisco-client-compat = true dtls-legacy = true

参数解释

# 选择喜欢的登录方式,如果想使用证书登录的话应该把auth="certificate"前的井号删掉并在下面这行的前面加上井号。第5点会提到
auth = "plain[/etc/ocserv/ocpasswd]"

# 允许同时连接的总客户端数量,比如下面的4就是最多只能4台设备同时使用
max-clients = 4

#不同用户用同一个用户名可以同时登录,下面限制的是多少同名用户可以同时使用。改成0就是不作限制
max-same-clients = 2

# ocserv监听的IP地址,千万别动动了就爆炸
#listen-host = [IP|HOSTNAME]

# 服务监听的TCP/UDP端口,如果没有搭网站的话就用TCP443/UDP80好了
tcp-port = 443
udp-port = 80

# 开启以后可以增强V**性能
try-mtu-discovery = true

# 让服务器读取用户证书(后面会用到用户证书)
cert-user-oid = 2.5.4.3

# 服务器证书与密钥
server-cert = /etc/ssl/selfsigned/server-cert.pem
server-key = /etc/ssl/selfsigned/server-key.pem

# 服务器所使用的dns,我们使用Google提供的DNS
dns = 8.8.8.8
dns = 8.8.4.4

#把route = *全注释掉就是了
#route = 192.168.1.0/255.255.255.0

# 使ocserv兼容AnyConnect
cisco-client-compat = tru

用户配置 /etc/ocserv/ocpasswd

user:*:$5$AUmpA0nrORBa4M1K$sfEvgp70uiunAD9QHaUm.lgKid9lgYCYumsO0OKsB0C

命令

创建用户

ocpasswd -c /etc/ocserv/ocpasswd user

删除用户

ocpasswd -c /etc/ocserv/ocpasswd -d user

启动服务

service ocserv start

关闭服务器

service ocserv stop

重启服务

service ocserv restart

添加开机启动项

chkconf ocserv on

相关文章

序号

标题

1

通过脚本一键安装ocserv(anyconnect服务端):(https://www.pvcreate.com/index.php/archives/193/)

2

CentOS7使用Ocser搭建CiscoAnyconnect服务器(配置使用):(https://www.pvcreate.com/index.php/archives/195/)

3

通过脚本一键安装openV**:(https://www.pvcreate.com/index.php/archives/194/)

4

OpenV**同时监听TCP和UDP端口:(https://www.pvcreate.com/index.php/archives/196/)

5

CentOS 7安装配置PPTP:(https://www.pvcreate.com/index.php/archives/197/)

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • CentOS7使用Ocser一键搭建CiscoAnyconnect服务器

    AnyConnect作为Cisco专有技术,其服务端只能运行在Cisco设备上,即如果没有购买Cisco相关设备,将无法使用AnyConnect服务端。而Ope...

    明哥的运维笔记
  • 通过脚本一键安装ocserv(anyconnect服务端)

    执行/bin/bash ocserv-auto.sh即可完成一键安装,安装过程会交互式提示需要输出账号密码 安装完成会自动添加到开启启动项

    明哥的运维笔记
  • Vmware模拟安装 Citrix XenServer 6.1.0

    选择 I will install the operating system later. 点选 Next

    明哥的运维笔记
  • CentOS7使用Ocser一键搭建CiscoAnyconnect服务器

    AnyConnect作为Cisco专有技术,其服务端只能运行在Cisco设备上,即如果没有购买Cisco相关设备,将无法使用AnyConnect服务端。而Ope...

    明哥的运维笔记
  • 通过脚本一键安装ocserv(anyconnect服务端)

    执行/bin/bash ocserv-auto.sh即可完成一键安装,安装过程会交互式提示需要输出账号密码 安装完成会自动添加到开启启动项

    明哥的运维笔记
  • 微信会被封?!包子 Leetcode 1512 solution Number of Good Pairs

    包子君讲解的leetcode题目是越来越简单,在标题党的路上确实越走越远,对不起包子粉了?

    包子面试培训
  • 推荐一款特别厉害的在线工具,程序员的百宝箱

    今天发现了一款特别厉害的程序员在线工具网站,堪称程序员的百宝箱。可支持在线运行php、c、c++、go、python、java等主流语言,页面简单明了,通俗易懂...

    谭庆波
  • Java 中 long 和 double 的原子性?

    可以看到,程序中有两条线程t1,t2; t1,t2各自不停的给long类型的静态变量field赋值为1,-1; t1,t2每次赋值后,会读取field的值,若f...

    芋道源码
  • 解读NeurIPS-AutoDL 总决赛冠军解决方案,代码已开源

    NeurIPS,全称神经信息处理系统大会 (Conference and Workshop on Neural Information Processing S...

    机器之心
  • 广告小程序后端开发(9.获取已发布的广告和店铺列表,获取已发布的广告和店铺详情)

    玩蛇的胖纸

扫码关注云+社区

领取腾讯云代金券