Debian 9 配置 OpenConnect(兼容Cisco AnyConnect)

已于 2022-08-13 13:49:33 修改
阅读量3k 收藏 4
点赞数 2
文章标签: cisco 网络 运维
于 2020-02-27 17:48:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38739053/article/details/104464275
版权
本文详细记录了在Debian9环境下配置OCServ服务器的过程,包括安装服务端、使用Let’sEncrypt生成免费SSL证书、编辑配置文件、设置防火墙及客户端连接测试等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实测安装配置成功,在此记录过程
安装背景:近期,需建立服务器访问内网,先做一个实际测试
  • 配置环境:Debian 9
  • 使用 Let’s Encrypt 生成免费证书
  • 需要一个域名
  • 需要一个公网IP
  • 客户端环境:Android / iOS / Ubuntu / Elementry / DeepinOS 均测试成功
二、配置服务器
  • 这一环节是最关键的,也是本文核心
  • 本人使用 VSCode 安装 Remote - SSH ,其他方法大同小异,能连上服务器就ok

1、安装服务端:
sudo apt update
sudo apt install ocserv
2、安装 Let’s Encrypt Client 用于生成证书
sudo apt install certbot
3、生成证书
sudo certbot certonly --standalone --preferred-challenges http --agree-tos --email xxx@xxx.com -d abc.com

  • 说明: xxx@xxx.com 改成你的邮箱;abc.com 改成你的域名
    因为这台服务器运行这一个服务,故使用这种方法,如服务器上已经部署Nginx等服务,参考ocserv教程安装。
  • 生成证书后,会输出证书目录,请记住或复制目录,下面会用到

4、编辑服务端配置文件
sudo nano /etc/ocserv/ocserv.conf

auth = "pam[gid-min=1000]"
auth = "plain[passwd=/etc/ocserv/ocpasswd]" # 默认即可
tcp-port = 443  # 按自己需求改
udp-port = 443   # 按自己需求改
server-cert = /etc/letsencrypt/live/abc.com/fullchain.pem #刚才的证书路径
server-key = /etc/letsencrypt/live/abc.com/privkey.pem  #刚才的证书路径
max-clients = 20 #最大连接数,自定义。值为零代表不限制连接数
max-same-clients = 1 # 同一账号限制连接数量,按需求更改
try-mtu-discovery = false
idle-timeout = 1200
mobile-idle-timeout = 1200
cookie-timeout = 43200
default-domain = abc.com #你自己的域名
ipv4-network = 10.10.10.0 #这个看你本地网络是什么地址,不冲突就好
ipv4-netmask = 255.255.255.0
tunnel-all-dns = true
dns = 8.8.8.8 
dns = 8.8.4.4
# 把路由都注释掉(前面加 # )
#route = 10.0.0.0/8
#route = 172.16.0.0/12
...
#no-route = 192.168.5.0/255.255.255.0
  • 配置完毕保存 按 Ctrl+x 然后 enter 保存
  • 然后 sudo systemctl restart ocserv 重启服务端
  • 创建账户: sudo ocpasswd -c /etc/ocserv/ocpasswd 你的用户名 然后输入自定义密码,回车。

5、进一步完成配置服务器

sed -i '/net.ipv4.ip_forward.*/d;$a\net.ipv4.ip_forward = 1' /etc/sysctl.conf(开启IPv4转发)
sudo sysctl -p
注:更改在重启后生效,重启后注意检查各服务是否开启

6、防火墙:

sudo apt install ufw 安装防火墙
sudo ufw allow 22/tcp放行SSH
ip addr 查看网卡名
eth.png
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE 注意eth0为你的网卡名
iptables -A FORWARD -s 10.10.10.0/24 -j ACCEPT 地址为你设置的地址
iptables -A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT 开放443端口
iptables -A INPUT -p udp -m state --state NEW --dport 443 -j ACCEPT 开放443端口
service iptables save
2002-08 更新: 先apt install iptables-persistent,再iptables-save > /etc/iptables/iptables.rules
sudo systemctl restart ufw #重启防火墙
防火墙简单设置

7、Tips:

  • 安装过程出现错误,尝试安装后运行apt-get -f install -y
  • nano 配置文件后 保存 方法为 ctrl+x
  • systemctl status ocserv可查看服务状态
  • iftop 可以监控服务器流量,sudo apt-get install iftop 即可
  • 在网络环境特别复杂(多重NAT等)、DNS污染,也可能导致连接出现问题。关于路由、网络 可以浏览我的 博客

下载客户端 & 连接

  • 证书是受信任的,所以不会提示证书不安全
  • 下载地址:
    • iOS 搜索 AnyConnect

8、连接:输入域名、username(用户名)、password(密码) 连接即可。

路由器OpenConnect图文教程
惠惠软件
12-30 2564
添加以下三条记录,允许客户端使用路由器转发流量,重启防火墙生效.123注意下图中,如果和我一样有两条 53 结尾的记录,需注释掉
第十章 网络协议和管理配置 -- 网络配置(三)
Raymond的博客
03-24 609
将多块网卡绑定同一IP地址对外提供服务,可以实现高可用或者负载均衡。直接给两块网卡设置同一IP地址是不可以的。通过 bonding,虚拟一块网卡对外提供连接,物理网卡的被修改为相同的MAC地址。
open***连接命令
weixin_34121282的博客
04-05 132
9.25服务器启动open***: /opt/***/sbin/open*** --config /etc/open***/server.conf --log-append /var/log/open***.log & 现在用这条:/usr/local/sbin/open*** --config /etc/open***/server.conf &open...
使用OpenConnect替代Cisco AnyConnect
qq_38789531的博客
05-19 9213
软件安装 Linux 安装方法很简单,debian/ubuntu可以安装network-manager-openconnect-gnome: sudo apt install -y network-manager-openconnect-gnome 这样可以直接用network-manager的图形界面添加VPN即可。 MacOS 对于mac os系统,可以从homebrew安装OpenConnect软件包: brew install openconnect 然后在命令行下启动OpenConnect
linux 下用openconnect客户端连接 Cisco AnyConnect
最新发布
点滴记忆
03-10 293
在 linux 中安装 openconnect 使用命令:openconnect -b -u uname ip:port 进行连接 建立连接 -b 指定在后台运行-u 指定连接所用用户名,后面的uname替换成用户名即可ip:port 指定 vpn 地址和端口 这样每次连接都需要输入yes,通过修改连接命令可以跳过此步骤,修改后命令为: openconnect -b -u uname ...
开源项目:OpenConnect Graphical User Interface (GUI) 安装与使用指南
gitblog_00677的博客
08-08 1423
开源项目:OpenConnect Graphical User Interface (GUI) 安装与使用指南 项目地址:https://gitcode.com/gh_mirrors/op/openconnect-gui 1. 项目目录结构及介绍 OpenConnect GUI项目基于GitHub管理,其仓库地址为 https://github.com/openconnect/openconnec...
openwrt中openconnect配置
Kthemis的技术输出
01-08 9412
一、背景 最近家里新购置了索尼的x700的蓝光机,美亚折扣后几乎半价于国行,真的很香。这款机器内置了网飞,但需要专门的网络线路,这里不多说,于是需要给家里的软路由做一下配置,于是开始了折腾之旅。下面直接写过程,希望可以帮助大家可以少踩坑,图片略过,如果操作过的自然知道怎么做。通过这次折腾我也是深深理解了rt_table在做路由控制方面真的很方便。 二、安装配置openconnect openwr...
树莓派Ubuntu-mate18.04中设置openconnect客户端
jacob210的博客
03-30 1926
在树莓派Ubuntu-mate18.04中设置openconnect客户端,以取代cisco anyconnect
探秘 openconnect-sso:一键连接Azure AD与Cisco SSL-VPNs的利器!
gitblog_00040的博客
05-25 435
探秘 openconnect-sso:一键连接Azure AD与Cisco SSL-VPNs的利器! 去发现同类优质开源项目:https://gitcode.com/ 项目简介 openconnect-sso 是一个便捷的OpenConnect wrapper脚本,专为支持Azure AD(SAMLv2)认证的Cisco SSL-VPNs设计。通过它,你可以轻松地实现单点登录(Single Sig...
deepin Linux下 使用openconnect
weixin_42371647的博客
07-12 3175
deepin Linux下 使用openconnect第一步 打开终端第二步 输入 第一步 打开终端 输入 sudo -s (输入电脑的登录密码) 第二步 输入 openconnect xxxx.xxxx.edu.cn (按提示依次输入公共数据库账号密码) 断开时关闭终端即可 ps: 安装 ubuntu/debain sudo apt-get install openconnect 安...
linux连接sslvpn连接
09-16
例如,对于Cisco AnyConnect Secure Mobility Client,可以从官方下载。 3. **配置客户端**:解压并运行安装程序,按照向导设置账号信息。通常会创建一个配置文件,其中包含服务器地址、用户名和密码等信息。 4. *...
OpenConnectIOS
05-01
OpenConnectIOS 这是什么? OpenConnectIOS是一个Objective-C项目,可以使用OpenConnect协议轻松配置和建立VPN连接。 它基于原始的库,因此具有该库具有的所有功能。 该框架旨在与框架结合使用,并且不使用任何私有Apple API。 安装 要求 iOS 9.0以上或macOS 10.11以上 Xcode 9.0以上 用法 设置OpenConnect 克隆项目: $ cd [your folder] $ git clone https://github.com/AnhTVc/OpenConnectIOS.git 用Xcode打开 打开文件VPNViewController.m并设置配置 [ Wrapper startWithOptions : @ [ @ " --no-cert-check " ,
README
vekrio的博客
10-25 3305
stu linux学习 1:centos7查看版本信息 登陆root帐户,输入 cat /etc/redhat-release,即可显示系统版本 输入 uname -r ,可以查询内核版本 输入 df -h,可以查看各分区的使用情况。其中,从左到右各列的内容依次是: 文件系统、总大小、已使用大小、剩余大小、使用率、挂载点。 输入du -sh,则可以查...
CentOS7部署l2tp/IPsec服务
weixin_30539835的博客
01-12 2563
1、安装必要的工具 yum install vim net-tools wget unzip -y 2. 下载安装脚本 wget -O StackScript.zip http://files.cnblogs.com/files/think8848/StackScript.zip 3. 解压文件 unzip StackScript.zip 4. 执行...
Tryhackme-Pentesting Tools
个人博客
09-14 1118
Pentesting Tools 文章目录Pentesting ToolsNmaptask1 Deploytask2 Introductiontask3 Nmap Switchestask4 **Scan Types** Overviewtask5 **Scan Types** TCP Connect Scanstask6 **Scan Types** SYN Scanstask7 **Scan Types** UDP Scanstask8 **Scan Types** NULL, FIN and X
苹果Open***的客户端配置文件
weixin_34199405的博客
08-28 927
苹果Open×××的客户端配置文件Windows和Linux的客户端配置文件、ca证书、客户端证书、客户端秘钥、TLS-auth密钥都是保存在不同的文件里,然后配置文件里配置路径和文件名的方式来读取这些证书和秘钥。但是iPhone里这样配置是行不通的,iPhone的Open×××是直接把证书和秘钥写在配置文件里。下面就是我配置我的iPhone手机端的配置文件,可以参考以下配置...
open***成功配置客户端配置文件
weixin_34228662的博客
08-29 821
# Automatically generated Open××× client config file# Generated on Wed Aug 22 09:20:40 2012 by ubuntu# Note: this config file contains inline private keys# and therefore should be kep...
Ubuntu 使用openconnect工具建立SSL VPN连接
weixin_47450720的博客
11-29 2658
Ubuntu 使用openconnect工具建立SSL VPN连接
openconnect
weixin_34393428的博客
12-23 2591
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值