آموزش نصب و راه‌اندازی (ocserv) OpenConnect Server بر روی اوبونتو 22.04 با Let’s Encrypt

Was wird in diesem technischen Leitfaden behandelt?

Diese technische Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie den Dienst einrichten. OpenConnect (ocserv) An Ubuntu 22.04 Neben dem Empfang und der Verwaltung von Zertifikaten Let's EncryptBehandelt werden die sichere Konfiguration, Firewall- und NAT-Einstellungen, Benutzerauthentifizierung sowie Tipps zum Verbinden von Clients und zur Automatisierung der Zertifikatserneuerung.

Für sensible Umgebungen wie Handel, Gaming oder Unternehmenszugang ist die Wahl des richtigen Standorts und der Einsatz von Servern mit DDoS-Schutz entscheidend. Unser Unternehmen bietet über 85 Standorte weltweit, DDoS-geschützte Server und ein BGP-Netzwerk.

Voraussetzungen und Standortwahl

Bevor Sie beginnen, stellen Sie bitte Folgendes sicher:

• Ein Server Ubuntu 22.04 Sie haben Root- oder Sudo-Zugriff.
• Eine Domäne (z.B. vpn.example.com) bezieht sich auf die Server-IP-Adresse.
• Häfen 80 Und 443 Sie sind in der Firewall so konfiguriert, dass sie das Let's Encrypt-Zertifikat empfangen können.

Warum ist der Standort wichtig?

• Für Händler und Gamer hat die Wahl eines Standorts mit niedrigem Ping (z. B. London, Frankfurt oder Tokio) Priorität.
• Organisationen benötigen möglicherweise mehrere Standorte mit BGP und CDN, um die Stabilität zu erhöhen.
• Zum Schutz und für Stabilität werden Server mit DDoS-Schutz empfohlen.

Installation von ocserv und den erforderlichen Paketen

Aktualisieren Sie zunächst das System und installieren Sie die Basispakete:

sudo apt update && sudo apt upgrade -y
sudo apt install ocserv certbot libnss3-tools -y

Empfohlene Pakete für die Betriebsumgebung:

• ufw oder nftables für die Firewall-Verwaltung
• fail2ban zum Schutz vor Brute-Force-Angriffen
• openssl oder gnutls-bin, falls Sie TLS testen müssen.

Ein Let's Encrypt-Zertifikat erhalten (Methoden)

Zwei gängige Wege zur Zertifizierung:

Methode A – Verwendung von nginx (falls Sie einen Webserver besitzen)

Wenn Sie nginx verwenden, können Sie virtuelle Hosts aktivieren und certbot mit dem nginx-Plugin nutzen:

sudo apt install nginx
sudo certbot --nginx -d vpn.example.com

Geben Sie anschließend in der ocserv-Konfigurationsdatei den Zertifikatspfad wie folgt an:

server-cert = /etc/letsencrypt/live/vpn.example.com/fullchain.pem
server-key = /etc/letsencrypt/live/vpn.example.com/privkey.pem

Methode B – Standalone (falls Sie nginx nicht verwenden)

Da ocserv standardmäßig auf Port 443 lauscht, müssen Sie ocserv vorübergehend stoppen oder eine DNS-Herausforderung verwenden, bevor Sie certbot standalone ausführen können:

sudo systemctl stop ocserv
sudo certbot certonly --standalone -d vpn.example.com
sudo systemctl start ocserv

ocserv-Konfiguration — Beispiel für ocserv.conf

Hauptkonfigurationsdatei: /etc/ocserv/ocserv.conf. Beispiel für wichtige Abschnitte:

# ports
tcp-port = 443
udp-port = 443

# certificates
server-cert = /etc/letsencrypt/live/vpn.example.com/fullchain.pem
server-key = /etc/letsencrypt/live/vpn.example.com/privkey.pem

# network
default-domain = vpn.example.com
dns = 1.1.1.1
dns = 1.0.0.1
route = 0.0.0.0/0
no-route = 192.168.0.0/16

# limits
max-clients = 250
max-same-clients = 2

# security and performance
keepalive = 60
auth = "plain[passwd=/etc/ocserv/ocpasswd]"
compression = false
tls-priorities = "NORMAL:-VERS-TLS-ALL:+VERS-TLS1.2"
allow-roaming = true

Wichtige Hinweise: Route = 0.0.0.0/0 Für einen vollständigen Tunnel. Für einen Split-Tunnel fügen Sie nur die benötigten Netzwerke hinzu. Aus Sicherheitsgründen. Komprimierung = falsch Empfohlen.

Firewall- und NAT-Einstellungen (IP-Weiterleitung)

IP-Weiterleitung aktivieren:

sudo sysctl -w net.ipv4.ip_forward=1
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf

Beispielhafte iptables-Regeln für NAT (bei ausgehender Schnittstelle eth0 und internem Netzwerk 10.10.10.0/24):

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -s 10.10.10.0/24 -j ACCEPT

Um die Regeln über Neustarts hinweg beizubehalten, verwenden Sie iptables-persistent oder speichern Sie die Konfiguration in nftables.

Beispielhafte UFW-Befehle:

sudo ufw allow 443/tcp
sudo ufw allow 443/udp
sudo ufw allow 80/tcp
sudo ufw enable

Authentifizierung und Benutzerverwaltung

Einfache Methode basierend auf einer lokalen passwd-Datei:

sudo ocpasswd -c /etc/ocserv/ocpasswd alice

Sie können von PAM Verwendung für die LDAP/AD-Integration (Konfiguration) auth = "pam"" in ocserv.conf).

Für die zertifikatbasierte Authentifizierung (x.509) wird ein Client-Schlüssel/ein Client-Zertifikat generiert:

sudo certtool --generate-privkey --outfile client-key.pem
sudo certtool --generate-certificate --load-privkey client-key.pem --outfile client-cert.pem --template client.tmpl

Um 2FA hinzuzufügen, können Sie Folgendes verwenden: libpam-googleauthenticator und die Einstellung von PAM in /etc/pam.d/ocserv Verwenden.

Sicherheit, Härtung und Optimierung

• Einschränkung von TLS-Versionen Verwendung TLS-Prioritäten.
• Deaktivierung der Komprimierung Aus Sicherheitsgründen (z. B. Kriminalität).
• Begrenzen Sie die Anzahl gleichzeitiger Verbindungen (max-same-clients).
• Protokollierung und Ressourcenüberwachung aktivieren.
• Installieren und konfigurieren Sie fail2ban, um wiederholte Anmeldeversuche zu verhindern.

Einfaches Beispiel für die Einrichtung von fail2ban:

[ocserv]
enabled = true
port = 443
filter = ocserv
logpath = /var/log/syslog
maxretry = 5

Es ist notwendig, anhand der ocserv-Protokolle einen geeigneten Filter (regulären Ausdruck) zu erstellen.

Testen und Verbinden von Clients

Linux-Befehlszeilenclient mit OpenConnect:

sudo apt install openconnect
sudo openconnect vpn.example.com

Auf dem Linux-Desktop von Netzwerkmanager-OpenConnect Unter Windows/macOS verwenden Sie die OpenConnect-GUI oder Cisco AnyConnect-kompatible Clients.

So prüfen Sie den Servicestatus:

sudo systemctl status ocserv
sudo journalctl -u ocserv -f

Automatisierung der Zertifikatserneuerung und -wartung

Wenn Sie nginx oder Apache als Reverse-Proxy verwenden, kann certbot das Zertifikat in der Regel erneuern, ohne den Dienst zu stoppen, und ocserv nach der Erneuerung neu laden:

sudo certbot renew --deploy-hook "systemctl reload ocserv"

Wenn Sie die Standalone-Version verwenden und ocserv auf Port 443 aktiviert ist, haben Sie die Wahl zwischen einer DNS-Herausforderung oder der Verwendung von Pre-/Post-Hooks:

sudo certbot renew --pre-hook "systemctl stop ocserv" --post-hook "systemctl start ocserv"

Praktische Tipps und spezielle Anwendungsfälle

• Handel: Wählen Sie einen Server am nächstgelegenen Standort, um die geringste Latenz zu erreichen; speziell für den Handel entwickelte VPS mit Port 443 und UDP/DTLS können hilfreich sein.
• Gaming: Verwenden Sie Split-Tunneling, um nur den notwendigen Datenverkehr über das VPN zu senden und den Gaming-Ping zu reduzieren.
• Künstliche Intelligenz und Rendering: Durch den Einsatz von GPU-Servern in derselben Region können Netzwerklast und Latenz reduziert werden.
• Organisationssicherheit: Es wird eine Kombination aus LDAP/AD, 2FA, Überwachung und Anti-DDoS-Servern empfohlen.

Unser Unternehmen bietet leistungsstarke Cloud-Dienste, Grafikserver (GPU), Trading-/Gaming-VPS, Domainregistrierung, CDN und BGP-Netzwerke an. Mehr als 85 Standorte weltweit Bietet Ihnen die Möglichkeit, das VPN in der Nähe Ihrer Benutzer zu platzieren und von DDoS-Schutz zu profitieren.

Abschluss

Dieser Leitfaden beschreibt praktisch alle Schritte zur Einrichtung von OpenConnect (ocserv) unter Ubuntu 22.04, von der Installation über den Erhalt eines Let's Encrypt-Zertifikats, die sichere Konfiguration, Firewall und NAT, Authentifizierung, Optimierung und die Automatisierung der Zertifikatserneuerung.

Durch die Beachtung von Sicherheitsvorkehrungen wie zum Beispiel: Modernes TLS, Deaktivierung der KomprimierungVerbindungsbeschränkungen, 2FA-Aktivierung und fail2ban können einen sicheren und zuverlässigen VPN-Dienst für Teams, Gamer und Händler gewährleisten.