31
2024
01
16:26:00

推荐一款github上开源的SSL VPN (旧版本,不支持 radius认证支持 LDAP认证支持 等等主流功能 )

前言:

2022春节以来,新冠病毒又在全国各地爆发,很多公司都被迫安排员工转为线上远程办公的方式进行。

相对如深信服之类昂贵的SSL VPN,最近无意中在github看到了这款免费的SSL VPN,并进行了安装测试,总体来说该项目可以很好的满足企业远程在家办公的需求,且安装部署、使用都相对比较简单易上手,最重要的是免费、免费、免费!

但在测试使用过程中唯一一个比较遗憾的点:没有集成LDAP的功能,这对一般企业使用的管理员账号管理会比较麻烦,而且客户端使用者也无法自行修改密码。

项目介绍:

AnyLink 基于 ietf-openconnect 协议开发,并且借鉴了 ocserv 的开发思路,使其可以同时兼容 AnyConnect 客户端。

AnyLink 使用 TLS/DTLS 进行数据加密,因此需要 RSA 或 ECC 证书,可以通过 Let's Encrypt 和 TrustAsia 申请免费的 SSL 证书。

AnyLink 服务端仅在 centos 7、Ubuntu 18.04 测试通过,如需要安装其他系统,需要服务端支持 tun/tap 功能、ip 设置命令。

上链接:
https://github.com/bjdgyc/anylink

安装方式:个人喜好问题,使用编译安装

1.编译安装

2.使用Docker安装

部署环境:

系统版本:Centos 7.9;

网络需求:一张内网网卡、一张外网网卡;

内存:8G

硬盘:80G

安装前准备:

a.关闭selinux

b.g

安装步骤:

1.下载程序压缩包:

wget https://github.com/bjdgyc/anylink/releases/download/v0.7.3/anylink-deploy.tar.gz

2.将安装包解压到etc目录:

tar -zxvf anylink-deploy.tar.gz -C /etc

3.进入anylink-deploy目录:

cd anylink-deploy

4.生成web管理端的admin的密码(密码中不能使用$):

[root@vpn-test anylink-deploy]# ./anylink tool -p qwer1234

Passwd:$2a$10$mw.35yANbMoaFNGs5dZKXeCq1iQHxK7bnOhBJOHobIhDGCPr1qo2G

5.生成jwt密钥:

[root@vpn-test anylink-deploy]# ./anylink tool -s

Secret:jaodE8zrFbsmFyPn9A0UO0EW3YBoWA3CX4OL_EJS8tG0ZDUcQH4nr8Uu3nsAFVSy7q3zsloI

6.进入conf目录进行配置:

vi server.toml 修改如下:

#示例配置信息

#其他配置文件,可以使用绝对路径

#或者相对于 anylink 二进制文件的路径

#数据文件

db_type = "sqlite3"

db_source = "./conf/anylink.db"

#证书文件 使用跟Nginx一样的证书即可

cert_file = "./conf/vpn_cert.pem"

cert_key = "./conf/vpn_cert.key"

files_path = "./conf/files"

profile = "./conf/profile.xml"

#日志目录,为空写入标准输出

log_path = "./log"

# 添加日志文件路径

log_level = "info"

# 修改日志等级为

info pprof = false

#系统名称

issuer = "ssl vpn"

# 修改系统名称 #后台管理用户

admin_user = "admin"

#pass qwer1234 你可以将明文密码写在这里,不建议

admin_pass = "$2a$10$mw.35yANbMoaFNGs5dZKXeCq1iQHxK7bnOhBJOHobIhDGCPr1qo2G"

# 填 入第4步生成的密文

jwt_secret = "jaodE8zrFbsmFyPn9A0UO0EW3YBoWA3CX4OL_EJS8tG0ZDUcQH4nr8Uu3nsAFVSy7q3zsloI"

# 填 入第5步生成的jwt密钥

#服务监听地址

server_addr = ":443"

# 客户端要连接的端口,如果有需要请自行修改,安全组记得开放该端口

#开启 DTLS, 默认关闭

server_dtls = false

server_dtls_addr = ":4433"

#后台服务监听地址

admin_addr = ":8800"

# 后台管理端口

#开启tcp proxy protocol协议

proxy_protocol = false

link_mode = "tun"

# 网络模式,只演示该模式,其他模式请自行参考github

#客户端分配的ip地址池

ipv4_master = "eth0" # 网卡名,前面查看绑定内网的网卡名称

ipv4_cidr = "192.168.10.0/24" # 如果没有和内网网段冲突就不要改了,这个是分配给客户端的ip地 址池,并且后面配置nat也要与这个地址池保持一致

ipv4_gateway = "192.168.10.1"

ipv4_start = "192.168.10.100"

ipv4_end = "192.168.10.200"

#最大客户端数量,最大客户数量需要与上面的IP地址段数量匹配。

max_client = 100

#单个用户同时在线数量

max_user_client = 3

#IP租期(秒)

ip_lease = 1209600

#默认选择的组

default_group = "one"

#客户端失效检测时间(秒)dpd > keepalive

cstp_keepalive = 20

cstp_dpd = 30

mobile_keepalive = 40

mobile_dpd = 50

#session过期时间,用于断线重连,0永不过期

session_timeout = 3600

auth_timeout = 0

audit_interval = -1

7.创建日志目录,与上述配置路径保持一致

mkdir /etc/anylink-deploy/log

8.打开profile.xml文件,并修改如下:

vi profile.xml

<HostName>ssl vpn</HostName> # 第30行,最好与server.toml配置文件中的系统名称保持一 致,用于客户端区分

<HostAddress>123.123.13.13:443</HostAddress> # 第31行,客户端连接地址,域名加端口,或者 IP加端口(需公网IP地址)

推荐一款github上开源的SSL VPN

 

9.导入SSL 证书,我这边已经有现成的证书了,上传到服务器后,复制到配置文件指定的目录/etc/anylink-deploy/conf 即可。

推荐一款github上开源的SSL VPN

 

配置IPV4转发及NAT

1.开启服务器ipv4转发

echo ".NET.ipv4.ip_forward=1" >> /etc/sysctl.conf

2.立即生效:

sysctl -p

推荐一款github上开源的SSL VPN

 

3.设置nat ,eth0替换为你系统上内网网卡的名称即可。192.168.10.0/24与你server.toml中的客户端IP地址池保持一致。

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

推荐一款github上开源的SSL VPN

 

启动anylink服务

1. 复制service文件到系统中

cp /etc/anylink-deploy/systemd/anylink.service /usr/lib/systemd/system/

2. 启动anylink

systemctl start anylink

3. 查看启动状态

systemctl status anylink

浏览器访问后台管理:

1. 访问地址公网IP+端口(默认8800),输入账号(admin)和 密码(qwer1234)点击登陆

http://123.123.13.13:8800

推荐一款github上开源的SSL VPN

推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/4965.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: