01
2022
04
17:40:45

CentOS 7搭建基于账户的ocserv

https://blog.csdn.net/qq_42534026/article/details/113752206


1、安装epel的yum源,安装ocserv

2、修改ocserv的配置

3、管理用户

4、开启ip_forward,配置防火墙规则

5、启动服务和日志查看

6、客户端连接工具

1、安装epel的yum源,安装ocserv

yum install epel-release -y       

yum install ocserv -y

1

2

2、修改ocserv的配置

注:ocserv可以使用tcp,udp同时提供服务,必须开启tcp端口,否则无法提供服务,而udp为了提高传输效率,根据需求配置。


配置文件:/etc/ocserv/ocserv.conf,注意修改前做好备份

修改后的内容如下:


注:配置项都可搜索到,直接在此基础上修改即可


auth = "plain[passwd=/etc/ocserv/ocpasswd]"        #这里用密码验证,将其他配置项注释

tcp-port = 12321        #端口自定义

udp-port = 12321         #端口自定义

run-as-user = ocserv

run-as-group = ocserv

socket-file = ocserv.sock

chroot-dir = /var/lib/ocserv

isolate-workers = true

max-clients = 16         #根据需求修改

max-same-clients = 2        #根据需求修改

keepalive = 32400

dpd = 90

mobile-dpd = 1800

switch-to-tcp-timeout = 25

try-mtu-discovery = false

server-cert = /etc/pki/ocserv/public/server.crt #如果是IP:端口的方式连接,这两项保持默认即可

server-key = /etc/pki/ocserv/private/server.key #如果是域名的方式,需要将证书地址代替此两项

ca-cert = /etc/pki/ocserv/cacerts/ca.crt

cert-user-oid = 0.9.2342.19200300.100.1.1

tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"

auth-timeout = 240

min-reauth-time = 300

max-ban-score = 50

ban-reset-time = 300

cookie-timeout = 300

deny-roaming = false

rekey-time = 172800

rekey-method = ssl

use-occtl = true

pid-file = /var/run/ocserv.pid

device = vpns

predictable-ips = true

default-domain = example.com

ping-leases = false

cisco-client-compat = true

dtls-legacy = true

user-profile = profile.xml

dns = 8.8.8.8       #连接后的DNS

dns = 8.8.4.4      #连接后的DNS

ipv4-network = 192.168.8.0        #拨通VPN后分配的网段自定义

ipv4-netmask = 255.255.255.0         #拨通VPN后分配的网段自定义

route = 172.16.0.0/255.255.0.0        #配置路由,需要从本地访问的对端网段,可以配置多段

route = 192.168.200.0/255.255.255.0        #配置路由,需要从本地访问的对端网段,可以配置多段

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

注:需要在route中添加一条到内网网段的路由,否则虽然连接上了vpn服务器,但无法访问内网主机,若内网网段为172.31.0.0,那route就需要添加route = 172.31.0.0/255.255.255.0。


注:连接后为全局代理,建议在route配置项中配置多段,否则会影响网速


3、管理用户

暂时先手工管理。配置文件 /etc/ocserv/ocpasswd中可以看到创建的用户和加密后的密码。

首先创建存放用户数据的文件


touch /etc/ocserv/ocpasswd

1

以下为创建删除用户的命令


ocpasswd -c /etc/ocserv/ocpasswd user1         #创建用户,需要输入密码

ocpasswd -c /etc/ocserv/ocpasswd -l user1         #禁用用户

ocpasswd -c /etc/ocserv/ocpasswd -u user1         #解锁被禁用的用户

ocpasswd -c /etc/ocserv/ocpasswd -d user1         #删除用户

1

2

3

4

这里我们创建一个user1用户,自定义一个密码,用于后面客户端连接测试。


4、开启ip_forward,配置防火墙规则

若没有iptables,需要提前安装一下


yum install -y iptables-*

1

已存在则忽略,直接执行以下步骤


echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf && sysctl -p          #开启ip_forward

systemctl disable --now firewalld          #关闭firewalld,关闭开机自启

iptables -t nat -A POSTROUTING -s 192.168.8.0/24 -o eth0 -j MASQUERADE          #注意修改网卡名,ip段和上面配置文件中的ip段保持一致

iptables -A FORWARD -s 192.168.8.0/24 -j ACCEPT          #ip段和上面配置文件中的ipv4-network网段保持一致

iptables -A INPUT -p tcp -m state --state NEW --dport 12321 -j ACCEPT          #放行tcp的12321端口

iptables -A INPUT -p udp -m state --state NEW --dport 12321 -j ACCEPT          #放行udp的12321端口

service iptables save/restart          #保存当前防火墙规则/重启iptables

systemctl enable iptables          #设置iptables开机自启

1

2

3

4

5

6

7

8

5、启动服务和日志查看

systemctl enable --now ocserv          #设置ocserv开机自启,并马上启动此服务

systemctl restart ocserv          #重启服务

systemctl status ocserv          #验证服务运行状态

journalctl -u ocserv           #查看日志

journalctl -u ocserv -f          #查看实时日志

1

2

3

4

5

6、客户端连接工具

OCSERV使用思科的客户端连接工具:Cisco AnyConnect Secure Mobility Client

以下为网盘链接


链接:https://pan.baidu.com/s/1RI2_IEwq_E4DHv1i8GyGeA

提取码:pxdy


安装完成之后打开,选择设置


选择Preferences,其中根据你的配置勾选功能,在此案例中,勾选箭头指的那两项即可。

关闭配置窗口,输入IP:端口(假设地址是192.168.1.1),点击连接即可


如果成功连接OCSERV,会要求你输入用户名密码,输入完成后,即可连接。

————————————————

版权声明:本文为CSDN博主「风雨兼程,披星戴月。」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/qq_42534026/article/details/113752206




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/2165.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: