https://blog.csdn.net/qq_42534026/article/details/113752206
1、安装epel的yum源,安装ocserv
2、修改ocserv的配置
3、管理用户
4、开启ip_forward,配置防火墙规则
5、启动服务和日志查看
6、客户端连接工具
1、安装epel的yum源,安装ocserv
yum install epel-release -y
yum install ocserv -y
1
2
2、修改ocserv的配置
注:ocserv可以使用tcp,udp同时提供服务,必须开启tcp端口,否则无法提供服务,而udp为了提高传输效率,根据需求配置。
配置文件:/etc/ocserv/ocserv.conf,注意修改前做好备份
修改后的内容如下:
注:配置项都可搜索到,直接在此基础上修改即可
auth = "plain[passwd=/etc/ocserv/ocpasswd]" #这里用密码验证,将其他配置项注释
tcp-port = 12321 #端口自定义
udp-port = 12321 #端口自定义
run-as-user = ocserv
run-as-group = ocserv
socket-file = ocserv.sock
chroot-dir = /var/lib/ocserv
isolate-workers = true
max-clients = 16 #根据需求修改
max-same-clients = 2 #根据需求修改
keepalive = 32400
dpd = 90
mobile-dpd = 1800
switch-to-tcp-timeout = 25
try-mtu-discovery = false
server-cert = /etc/pki/ocserv/public/server.crt #如果是IP:端口的方式连接,这两项保持默认即可
server-key = /etc/pki/ocserv/private/server.key #如果是域名的方式,需要将证书地址代替此两项
ca-cert = /etc/pki/ocserv/cacerts/ca.crt
cert-user-oid = 0.9.2342.19200300.100.1.1
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"
auth-timeout = 240
min-reauth-time = 300
max-ban-score = 50
ban-reset-time = 300
cookie-timeout = 300
deny-roaming = false
rekey-time = 172800
rekey-method = ssl
use-occtl = true
pid-file = /var/run/ocserv.pid
device = vpns
predictable-ips = true
default-domain = example.com
ping-leases = false
cisco-client-compat = true
dtls-legacy = true
user-profile = profile.xml
dns = 8.8.8.8 #连接后的DNS
dns = 8.8.4.4 #连接后的DNS
ipv4-network = 192.168.8.0 #拨通VPN后分配的网段自定义
ipv4-netmask = 255.255.255.0 #拨通VPN后分配的网段自定义
route = 172.16.0.0/255.255.0.0 #配置路由,需要从本地访问的对端网段,可以配置多段
route = 192.168.200.0/255.255.255.0 #配置路由,需要从本地访问的对端网段,可以配置多段
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
注:需要在route中添加一条到内网网段的路由,否则虽然连接上了vpn服务器,但无法访问内网主机,若内网网段为172.31.0.0,那route就需要添加route = 172.31.0.0/255.255.255.0。
注:连接后为全局代理,建议在route配置项中配置多段,否则会影响网速
3、管理用户
暂时先手工管理。配置文件 /etc/ocserv/ocpasswd中可以看到创建的用户和加密后的密码。
首先创建存放用户数据的文件
touch /etc/ocserv/ocpasswd
1
以下为创建删除用户的命令
ocpasswd -c /etc/ocserv/ocpasswd user1 #创建用户,需要输入密码
ocpasswd -c /etc/ocserv/ocpasswd -l user1 #禁用用户
ocpasswd -c /etc/ocserv/ocpasswd -u user1 #解锁被禁用的用户
ocpasswd -c /etc/ocserv/ocpasswd -d user1 #删除用户
1
2
3
4
这里我们创建一个user1用户,自定义一个密码,用于后面客户端连接测试。
4、开启ip_forward,配置防火墙规则
若没有iptables,需要提前安装一下
yum install -y iptables-*
1
已存在则忽略,直接执行以下步骤
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf && sysctl -p #开启ip_forward
systemctl disable --now firewalld #关闭firewalld,关闭开机自启
iptables -t nat -A POSTROUTING -s 192.168.8.0/24 -o eth0 -j MASQUERADE #注意修改网卡名,ip段和上面配置文件中的ip段保持一致
iptables -A FORWARD -s 192.168.8.0/24 -j ACCEPT #ip段和上面配置文件中的ipv4-network网段保持一致
iptables -A INPUT -p tcp -m state --state NEW --dport 12321 -j ACCEPT #放行tcp的12321端口
iptables -A INPUT -p udp -m state --state NEW --dport 12321 -j ACCEPT #放行udp的12321端口
service iptables save/restart #保存当前防火墙规则/重启iptables
systemctl enable iptables #设置iptables开机自启
1
2
3
4
5
6
7
8
5、启动服务和日志查看
systemctl enable --now ocserv #设置ocserv开机自启,并马上启动此服务
systemctl restart ocserv #重启服务
systemctl status ocserv #验证服务运行状态
journalctl -u ocserv #查看日志
journalctl -u ocserv -f #查看实时日志
1
2
3
4
5
6、客户端连接工具
OCSERV使用思科的客户端连接工具:Cisco AnyConnect Secure Mobility Client
以下为网盘链接
链接:https://pan.baidu.com/s/1RI2_IEwq_E4DHv1i8GyGeA
提取码:pxdy
安装完成之后打开,选择设置
选择Preferences,其中根据你的配置勾选功能,在此案例中,勾选箭头指的那两项即可。
关闭配置窗口,输入IP:端口(假设地址是192.168.1.1),点击连接即可
如果成功连接OCSERV,会要求你输入用户名密码,输入完成后,即可连接。
————————————————
版权声明:本文为CSDN博主「风雨兼程,披星戴月。」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_42534026/article/details/113752206
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/2165.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~