Ubuntu搭建Ocserv配置路由分流(转)

 

一、项目准备

1.1、VMware ESXi

VMware ESXi

来源：网络来源

1.2、Ubuntu镜像

Ubuntu 22.04.3 ISO

来源：网络来源

1.3、OpenConnect客户端

ALL Client

来源：网络来源

1.4、AnyConnect客户端

国内：下载导航页

来源：网络来源

国外：下载导航页

来源：网络来源

1.5、SSH工具

MobaXterm

来源：网络来源

1.5.1、MobaXterm激活

MobaXterm 常规设置指南

二、部署Ubuntu

Ubuntu系统在VMware ESXi中安装设置请参考 Ubuntu搭建OpenVPN配置分流规则指南！第二步)

三、安装Ocserv

3.1、确认软件包

apt-cache show ocserv

3.2、更新软件列表

sudo apt-get update

3.3、安装Ocserv

sudo apt-get install -y ocserv

3.4、检查版本

ocserv -version

3.5、版本升级

根据测试发现ocserv 1.1.3会在启动之后崩溃，所以我们需要升级到ocserv1.1.6版本，来解决该问题

sudo apt-get install -y wget && wget https://mirror.iranserver.com/ubuntu/ubuntu/pool/universe/o/ocserv/ocserv_1.1.6-2_amd64.deb

如果直接安装1.1.6版本需要先安装下面这些依赖，否则会执行报错

sudo apt-get install ssl-cert libev4 libhttp-parser2.9 libnl-route-3-200 liboath0 libprotobuf-c1 libradcli4 libtalloc2

sudo dpkg -i ocserv_1.1.6-2_amd64.deb

查看版本是否升级成功

ocserv -version

3.6、告警解决

告警一："/run/ocserv" 目录无法访问，因此无法创建用户的家目录。

sudo mkdir /var/lib/ocserv

sudo chown -R ocserv:ocserv /var/lib/ocserv

告警二："invoke-rc.d" 受到了 "policy-rc.d" 的限制，因此无法执行重启操作。

sudo nano /usr/sbin/policy-rc.d

#!/bin/sh
while true; do
   case "$1" in
      -*) shift;;
      makedev|x11-common|ocserv) exit 0;;
      *) exit 101;;
   esac
done

3.7、重启Ocserv

sudo systemctl restart ocserv

因为我们刚刚升级完版本，还没有创建证书以及密钥等信息，所以在start后，服务会报错，无法启动，那接下来我们需要创建证书以及密钥

3.8、创建SSL证书

创建并进去证书目录

mkdir /etc/ocserv/certificates && cd /etc/ocserv/certificates

3.9、创建ca.tmpl

nano ca.tmpl

下面的内容改不改不影响VPN连接，如果你需要查看VPN连接日志，建议修改下面的信息

cn = "Your CA name"
organization = "Your organization name"
serial = 1
expiration_days = 3650
ca
signing_key
cert_signing_key
crl_signing_key

3.10、创建server.tmpl

nano server.tmpl

下面的内容改不改不影响VPN连接，如果你需要查看VPN连接日志，建议修改下面的信息

cn = "Your hostname or IP" 
organization = "Your organization name" 
serial = 2
expiration_days = 3650
signing_key 
encryption_key
tls_www_server

3.11、生成CA证书

如果提示没有certtool程序，先安装gnutls-bin然后重新创建ca-key.pem

sudo apt-get install -y gnutls-bin

certtool --generate-privkey --outfile ca-key.pem

certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem

3.12、用CA证书签VPN证书

certtool --generate-privkey --outfile server-key.pem

certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

3.13、复制crt，key到ocserv目录

sudo cp server-cert.pem server-key.pem /etc/ocserv/

3.14、查看当前ocserv.conf默认配置

cd .. && cat ocserv.conf | grep '^[^#|^;]'

3.15、修改配置文件

3.15.1、查看SSL证书路径和密钥路径

cd certificates && ll && pwd

3.15.2、添加SSL证书路径和密钥路径到配置文件中

ca-cert = /etc/ocserv/certificates/ca-cert.pem
server-cert = /etc/ocserv/certificates/server-cert.pem
server-key = /etc/ocserv/certificates/server-key.pem

3.15.3、添加VPN连接成功欢迎信息

banner = "Welcome YYDY OcservVPN"

3.15.4、开启MTU控制

try-mtu-discovery = true
mtu = 1200

3.15.5、修改最大客户端数

max-clients = 100

3.15.6、修改单账户最大客户端数

max-same-clients = 5

3.15.7、修改用户VPN网卡IP段

尽量避免和内网网段冲突

ipv4-network = 100.255.255.0
ipv4-netmask = 255.255.255.0

3.15.8、修改用户VPN网卡DNS

如果内网有绿色DNS服务器场景，或者用户连接VPN后需要解析内网域名，则需要添加本项，否则略过

dns = 10.10.10.10

3.15.9、下发谷歌微软以及国内拒绝路由表

谷歌微软路由表

来源：网络来源

3.15.10、不下发指定路由

no-route = 10.0.0.0/255.0.0.0
no-route = 172.16.0.0/255.240.0.0
no-route = 192.168.0.0/255.255.0.0

3.15.11、下发指定路由

route = 10.10.10.10/255.255.255.255

3.15.12、重启生效

sudo systemctl restart ocserv.service

3.15.13、查看状态

sudo systemctl status ocserv.service

3.15.14、创建这个文件

sudo touch /run/ocserv-socket
sudo chmod 660 /run/ocserv-socket
sudo chown ocserv:ocserv /run/ocserv-socket

3.15.15、检查服务端口是否正常

lsof -i:443

3.16、创建账号文件

sudo touch /etc/ocserv/passwd

3.17、创建用户yydy

sudo ocpasswd -c /etc/ocserv/passwd yydy

如果要删除刚刚创建的账号请用下面的命令，-d后面加上账号名

sudo ocpasswd -c /etc/ocserv/passwd -d username

四、OpenConnect测试

正常情况应该是公网测试连接，需要做端口映射到Ocserv服务器的tcp/udp443端口，我测试直接用内网的IP连接看效果

4.1、路由前后对比

route print -4

4.2、内网地址不可达

因为我们网卡现在拿到的IP是Ocserv下发的网段，所以到内网无法访问，所以要开启NAT以及ipv4转发，不然终端电脑不能利用VPN隧道上网访问谷歌微软那些网段

tracert -d -w 1 内网IP

五、配置VPN上网

5.1、查看Ocserv服务器上网网卡名称

ip addr

5.2、开启路由转发

sed -i '/net.ipv4.ip_forward/s/0/1/' /etc/sysctl.conf
sed -i '/net.ipv4.ip_forward/s/#//' /etc/sysctl.conf
sysctl -p

5.3、配置iptables

sudo iptables -t nat -A POSTROUTING -o ens160 -j MASQUERADE

5.4、安装iptables-persistent

需要让iptables规则在Ocserv服务器重启后依旧生效

sudo apt install -y iptables-persistent

5.5、保存到iptables-persistent

sudo netfilter-persistent save

六、测试验证

七、遇到的问题

7.1、路由下发问题

下面这个格式是正确的

no-route = 10.0.0.0/255.0.0.0
no-route = 172.16.0.0/255.240.0.0
no-route = 192.168.0.0/255.255.0.0
route = 192.168.100.3/255.255.255.255
route = 192.168.100.4/255.255.255.255
route = 192.168.6.0/255.255.255.0

下面这个格式是错误的，发现客户端拿不到路由

no-route = 10.0.0.0/8
no-route = 172.16.0.0/12
no-route = 192.168.0.0/16
route = 192.168.100.3/32
route = 192.168.100.4/32
route = 192.168.6.0/24

八、CiscoAnyconnect测试

九、海外加速测试