https://www.pvcreate.com/index.php/archives/193/
AnyConnect作為Cisco專有技術,其服務端只能運行在Cisco設備上,即如果沒有購買Cisco相關設備,將無法使用AnyConnect服務端。而OpenConnect(ocserv)的出現解決了這一個問題,OpenConnect是一個開源項目,其目標是在相對廉價的linux設備上運行與AnyConnect協議兼容的服務端,以此來使用該協議而不需要購買Cisco專有設備。
AnyConnect目前支持 Windows 7+ / Android / IOS / Mac ,其他設備沒有客戶端所以無法使用,例如 XP系統。
OpenConnect特點:
- 我們需要的是安全內網訪問,不是快速地繞過防火牆… 而且后期需要加入證書認證
- OpenVPN 協議特征過於明顯,雖然 AnyConnect 協議特征也十分明顯,但是由於目前只有一些大廠在用,一般而言直接撥位與海外的 VPN 網關不容易受到干擾或受到的干擾較小
- 對於例如 iOS/BlackBerry BBOS 系統而言,一般自帶 AnyConnect 連接工具
- 多系統支持,Windows 7+ / Android / IOS / Mac
部署安裝
| 名稱 | 結果 | 備注 |
|---|---|---|
| 實測環境 | centos7.3 | 實測通過 |
| 支持平台 | CentOS/RedHat 7 | |
| git路徑 | ocserv-auto.sh | |
| 官方客戶端下載 | 下載地址 | |
| gitee下載 | 下載地址 | |
| 安卓客戶端下載 | 下載地址 | |
| IOS客戶端下載 | 在app store中搜索anyconnect安裝即可 | |
| 執行方式 | /bin/bash ocserv-auto.sh |
ios客戶端使用示例
- 1.在app store 搜索anyconnect下載安裝
- 2.打開客戶端在 設置處 關閉阻止不信任的服務器
因為腳本默認采用的自簽名證書,同時第一次的連接時候也會提示不信任的服務器,選擇繼續即可 - 3.新建服務器配置,輸入腳本創建用戶名和密碼即可
安裝:
執行/bin/bash ocserv-auto.sh即可完成一鍵安裝,安裝過程會交互式提示需要輸出賬號密碼
安裝完成會自動添加到開啟啟動項
配置:
主配置文件
/etc/ocserv/ocserv.conf
注意以上一鍵部署腳本會自動添加route配置,如果你想連接上anyconnect之后,全部流量都走vpn的話,請注釋該配置文件以route開頭的配置。如果只有部分網段走vpn的話,可以自行配置。比如連接上vpn之后,只有訪問公司192.168.0.0/25網段才走vpn,可以在該配置文件之后添加
route=192.168.0.0/255.255.255.0
相關常用命令如下
創建用戶ocpasswd -c /etc/ocserv/ocpasswd user
刪除用戶ocpasswd -c /etc/ocserv/ocpasswd -d user
啟動服務service ocserv start
關閉服務器service ocserv stop
重啟服務service ocserv restart
linux 客戶端連接:
apt-get install openconnect
openconect --protocol=anyconnect 服務器地址