Instalar OpenConnect Server sobre Ubuntu Server 16.04

Quiero mostrar como he instalado openconnect server sobre Ubuntu server 16.04 y conectar mediante el cliente de Cisco AnyConnect client, Openconnect server también conocido por Ocserv es un servidor VPN que se conecta mediante SSL.

Es un servidor seguro, ligero y rápido que se puede instalar en un entorno Linux, realizaré los pasos uno a uno para que sea sencillo realizar .

La instalación de demostración se llevará a cabo en un nuevo servidor instalado Ubuntu 16.04 con dirección IP (*). Se necesitará una máquina con Ubuntu instalada con una cuenta de usuario que tenga acceso sudo a ella.

Yo lo he realizado en una máquina virtual mediante proxmox sin problema, siempre y cuando tengas bien nateado el router el cual no voy a profundizar en este artículo. Puerto necesario abierto 443 con la ip local del host que contenga OCSERV

Primeramente vamos a actualizar el repositorio de Ubuntu con el siguiente comando.

#sudo apt-get update

Como Ocserver está incluido en el paquete de Ubuntu, no es necesario obtener el paquete de la fuente externa. Simplemente puede usar el comando apt-get para instalar ocserv en Ubuntu 16.04.

Instalando OCServ en Ubuntu 16.04

Vamos a instalar el paquete, instale ocserv usando el siguiente comando.

#sudo apt-get install ocserv

ocservinstall

Esto instalará los paquetes adicionales necesarios para ejecutar ocserver automáticamente. Simplemente ponga «y» mientras solicita la confirmación de la instalación y espere hasta que la instalación se complete para seguir los pasos.

Como requerimos para crear claves y certificados, necesitamos instalar un paquete adicional GnuTLS del repositorio de Ubuntu, siguiente comando para instalar GnuTLS.

#sudo apt-get install gnutls-bin

installgnutls

Creando Certificados

Ahora navegaremos al directorio ocserv y crearemos las claves y certificados

Usa el siguiente comando para cambiar el directorio

#cd /etc/ocserv/

En este directorio, cree un nuevo archivo llamado ca.tmpl usando el siguiente comando

#sudo vi ca.tmpl

Ahora estará en el editor vi, donde podrá insertar contenido después de presionar la tecla «insertar» (i). Simplemente pegue el siguiente contenido en el archivo ca.tmpl. Guarde y salga del editor vi usando las teclas Esc : wq

cn = «VPN CASA»
organization = «sablerojo»
serial = 1
expiration_days = 3650
ca
signing_key
cert_signing_key
crl_signing_key

Tenga en cuenta que puede cambiar los valores de cn y organización con cualquier valor que desee.

Una vez hecho esto, ejecute el siguiente comando para generar una clave privada.

#sudo certtool –generate-privkey –outfile server-key.pem

Cree un certificado de servidor utilizando la clave privada generada en el siguiente paso. Solo usa el siguiente comando en la caja de masilla

sudo certtool –generate-certificate –load-privkey server-key.pem\

>     –load-ca-certificate ca-cert.pem –load-ca-privkey ca-key.pem\

>     –template server.tmpl –outfile server-cert.pem

cakey1

cakey2

cakey3

cakey4

Modificar el archivo de configuración de OCServ

En el siguiente paso, debe realizar algunos cambios en el archivo de configuración predeterminado de ocserv. Abra el archivo de configuración con el siguiente comando y realice los cambios que se enumeran a continuación en el archivo.

#sudo vi ocserv.config

Encuentre la línea auth = «pam [gid-min = 1000]» y reemplace con la siguiente
auth = «plain [/ etc / ocserv / ocpasswd]»

Reemplace estas dos líneas
server-cert = /etc/ssl/certs/ssl-cert-snakeoil.pem
server-key = /etc/ssl/private/ssl-cert-snakeoil.key
con las siguientes líneas
server-cert = / etc /ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem

Cambie el valor de
try-mtu-discovery de falso a verdadero
try-mtu-discovery = true

Cambie el valor de DNS de 192.168.1.2 a 8.8.8.8
dns = 8.8.8.8

Elimine las líneas o coloque un # frente a las líneas siguientes
ruta = 10.10.10.0/255.255.255.0
ruta = 192.168.0.0/255.255.0.0
no-route = 192.168.5.0/255.255.255.0

Después de realizar estos cambios, guarde y salga del editor de VI con las teclas Esc: wq

Crear contraseña Open Connect Server

A continuación, debe crear un archivo de contraseña con detalles, usa el siguiente comando.

#sudo ocpasswd -c /etc/ocserv/ocpasswd lemmy

Reemplace el valor «lemmy» con su nombre de usuario deseado

Le pedirá la contraseña y la confirmación de la contraseña.

hacer cambios en el archivo de configuración de control del sistema para permitir el reenvío. Para hacerlo, abra el archivo en el editor vi usando el siguiente comando.

#sudo vim /etc/sysctl.conf

Descomente la línea eliminando # de # net.ipv4.ip_forward = 1.

Debería verse como debajo de
net.ipv4.ip_forward = 1

Guarde y salga del editor y active el cambio simplemente lanzando el siguiente comando.

#sudo sysctl -p

Guarde y salga del editor y active el cambio simplemente lanzando el siguiente comando.

#sudo apt-get install iptables-persistent

FOTO

Ahora agregaremos puertos SSL a la lista aceptada del firewall. Simplemente use los siguientes comandos para las conexiones TCP y UDP respectivamente

#sudo iptables -A ENTRADA -p tcp –dport 443 -j ACEPTAR
#sudo iptables -A ENTRADA -p udp –dport 443 -j ACEPTAR

Habilitar NAT usando el siguiente comando

#sudo iptables -t nat -A POSTROUTING -j MASQUERADE

Reconfigure las tablas de IP para que sus cambios se mantengan durante los reinicios del servidor.

#sudo dpkg-reconfigure iptables-persistent

FOTO

Descubrí que el servidor está escuchando en el puerto 443 antes de habilitar ocserver. El siguiente comando mostrará una lista de la lista de sockets y podrá encontrar la unidad respectiva que está escuchando el puerto.

#systemctl -all list-sockets

Untitled

Desde la captura de pantalla, puede ver que ocserv.socket está escuchando el puerto 443, así que lo detuve utilizando el siguiente comando antes de continuar.

#sudo systemctl stop ocserv.socket

Después de matar puedes habilitar ocserv ejecutando el siguiente comando.

#sudo ocserv -c /etc/ocserv/ocserv.conf

Puedes verificar que está escuchando 443 usando el siguiente comando.

#sudo netstat -tulpn | grep 443

si no tienes el paquete como me paso,

#sudo apt-get install net-tools

ocserver-enabling2

Descargar he instalar certificados.

lo descargar mediante por scp, sftp etc, en windows recomiendo winscp.

una vez descargado el fichero ca-cert.pem desde el host. realizamos siguientes pasos

Instalar el certificado en Windows 10

Debe instalarlo en su dispositivo, los pasos a continuación le mostrarán cómo instalar el certificado

símbolo del sistema abierto
escribe mmc y pulsa enter
Archivo -> agregar quitar complemento
Seleccione certificados y agregue
Seleccionar cuenta de computadora -> siguiente -> finalizar
Seleccione certificados (computadora local) -> OK
Expandir certificados desde el menú de la izquierda
Haga clic con el botón derecho en Autoridades de certificado raíz de confianza -> Todas las tareas-> Importar -> Siguiente
Busca el archivo que has descargado
Elija «Todo el archivo» en la ventana del navegador y elija el archivo descargado
Haga clic en Siguiente -> Finalizar
Ahora tienes instalado el certificado en tu máquina Windows.

fuente: https://ocserv.gitlab.io/www/manual.html

Deja una respuesta

Tu dirección de correo electrónico no será publicada.