Centos7搭建cisco ocserv

时间:2025-03-24 09:19:16

一、安装的部分直接yum安装即可

yum -y install  ocserv

二、配置文件根据实际情况调整 

auth方式有两种

1、系统账号认证

配置的话就是:auth = "pam"

2、本地文件认证

配置的话就是:auth = "plain[/etc/ocserv/users]"

# grep -Ev '^#|^$' 
auth = "pam"
tcp-port = 8443
udp-port = 8443
run-as-user = ocserv
run-as-group = ocserv
socket-file = 
chroot-dir = /var/lib/ocserv
isolate-workers = true
max-clients = 16
max-same-clients = 2
rate-limit-ms = 100
keepalive = 32400
dpd = 90
mobile-dpd = 1800
switch-to-tcp-timeout = 25
try-mtu-discovery = true
server-cert = /etc/ocserv/ssl/
server-key = /etc/ocserv/ssl/
ca-cert = /etc/pki/ocserv/cacerts/
cert-user-oid = 0.9.2342.19200300.100.1.1
tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"
auth-timeout = 240
min-reauth-time = 300
max-ban-score = 50
ban-reset-time = 300
cookie-timeout = 300
deny-roaming = false
rekey-time = 172800
rekey-method = ssl
use-occtl = true
pid-file = /var/run/
device = vpns
predictable-ips = true
default-domain = 
ipv4-network = 192.168.8.0
ipv4-netmask = 255.255.255.0
ipv4-network = 192.168.8.0/24
ping-leases = false
route = 10.10.10.0/255.255.255.0
route = 192.168.0.0/255.255.0.0
route = 100.64.0.0/255.192.0.0
cisco-client-compat = true
dtls-legacy = true
user-profile =

三、管理的部分

##重启ocserv
sudo systemctl enable ocserv
sudo systemctl start ocserv

##查看是否启动成功(debug权重为1,最高可以为10)
sudo ocserv -c /etc/ocserv/ -f -d 1

##添加用户
ocpasswd -c /etc/ocserv/users 【用户名】
##添加用户至某个分组
ocpasswd -c /etc/ocserv/users -g 【分组名称】 【用户名】
##锁定用户
ocpasswd -c /etc/ocserv/users -l 【用户名】
##解锁用户
ocpasswd -c /etc/ocserv/users -u 【用户名】
##删除用户
ocpasswd -c /etc/ocserv/users -d 【用户名】

##查看当前服务运行状态:
occtl -n show status
##查看当前在线用户详情:
occtl -n show users

##踢掉当前在线用户:
通过用户名:
occtl disconnect user 【用户名】
通过id:
occtl disconnect id 【id号】

四、验证

验证

##创建一个账号
ocpasswd -c /etc/ocserv/users kitty

##4.1 软件下载地址:/?dir=%E7%A7%91%E5%AD%A6%E4%B8%8A%E7%BD%91/PC/AnyConnect
连接cisco anyconnect 的设备,输入登录地址

测试内网域名
ping test.
PING test. (10.67.71.8) 56(84) bytes of data.
64 bytes from 10.67.71.8 (10.67.71.8): icmp_seq=1 ttl=250 time=3.98 ms

##4.2 使用第三方软件

#4.2.1 下载与使用方式

#4.2.1.
安装方式:sudo apt install -y network-manager-openconnect-gnome
使用为界面化模式

#4.2.1.2  mac
安装方式 :brew install  openconnect
使用方式:sudo openconnect 
#输入账号密码即可

#4.2.1.3 window
下载地址:/openconnect/openconnect-gui/releases/latest
使用为界面化模式

##4.3 两款软件比较
状态 Cisco anyconnect vpn openconnect
缺点 无断网问题 断网就不可以
优点 不可多开,iphone热点无法使用 该软件可以多开,可以使用iphone下的热点

小结

我测试中,使用是yum安装,而且直接使用Cisco anyconnect的路由进行转发,但是这里存在一个问题,就是Cisco anyconnect 最大支持的路由只要64个,所以很多人都会采用iptables进行转发。另外一个注意点,就是服务器必须开启ipv4转发
sysctl -w net.ipv4.ip_forward=1

相关文章