在Ubuntu上部署OpenConnect VPN服务器(ocserv)

OpenConnect VPN Server

OpenConnect VPN Server，也称为 ocserv，采用OpenConnect SSL VPN协议，并且和Cisco AnyConnect SSL VPN协议的客户端兼容。

OpenConnect VPN Server特性：

• 轻量级并且快速

• 兼容Cisco AnyConnect客户端

• 支持密码和证书认证

• 易于设置

OpenConnect协议提供了 TCP/UDP VPN通道，使用标准的IETF安全协议加密。虽然主要是在GNU/Linux平台部署，但是其设计是兼容任何Unix平台的。Ubuntu 16.04发行版提供了OCserv软件包，所以不需要源代码编译。客户端可以使用 iOS平台的Cisco AnyConnect VPN客户端。

说明

本实践是在Ubuntu 18.04 LTS版本上完成。根据Ocserv官方Debian,Ubuntu安装文档介绍需要注意点有：

• Ubuntu 16.04 LTS是第一个包含ocserv和radcli的Ubuntu发行版，需要激活"universe"软件仓库

• Debian8没有包含ocserv和radcli软件包

• 当前Debian/Ubuntu软件包ocserv不支持radius认证，如果需要radius认证，需要从源代码编译

安装

• 检查软件仓库

cat /etc/apt/sources.list

• 更新apt缓存

apt update

• 检查是否提供了ocserv

apt-cache show ocserv

• 安装ocserv

apt install ovserv

安装完成后，请OpenConncet VPN服务器是自动启动的，所以可以通过以下命令检查一下状态：

systemctl status ocserv

如果运行正常，则输出信息类似

● ocserv.service - OpenConnect SSL VPN server
   Loaded: loaded (/lib/systemd/system/ocserv.service; enabled; vendor preset: e
   Active: active (running) since Sun 2019-02-03 01:36:32 UTC; 1h 34min ago
     Docs: man:ocserv(8)
 Main PID: 1596 (ocserv-main)
    Tasks: 2 (limit: 505)
   CGroup: /system.slice/ocserv.service
           ├─1596 ocserv-main
           └─1605 ocserv-sm

客户端连接

在不同的Linux发行版都提供了openconnect客户端，例如，debian/ubuntu可以使用如下方法

sudo apt install openconnect
sudo openconnect -b vpn.mydomain.com

请参考 安装使用OpenConnect

配置

虽然 gnutils-bin软件包提供了创建自己的CA和服务器证书的方式（请参考 部署支持证书的OpenConnect VPN服务器（ocserv）），但是推荐使用 Let's Encrypt certificate，不仅免费而且易于设置，最重要的一点是证书被VPN客户端信任。

准备

• 需要一个VPS（Virtual Private Server），推荐使用 Vultr。我自己使用的是 Vultr 的 1 CPU 512M 500GB带宽，每月 3.5$ 规格 ，不过需要注意的是：

  • 很多VPS的IP地址被墙了，所以需要耐心多创建一些虚拟机，然后剔除掉不能TCP访问（ssh）的IP，然后对比各机房不同IP地址的速度和稳定性

  • 东京的IP并不如想象中这么稳定，而且很难找到没有被墙的IP，在大陆电信、移动运营商环境访问速度差异很大

  • 最好根据自己实际常用网络访问情况来判断，推荐美国西部机房，例如洛杉矶、硅谷

• 需要一个域名，建议使用国外域名注册商，因为在国内域名注册需要备案。GoDaddy 是全球最大域名注册商，稳定和可靠性较高，不过费用可能较高。请参考简书上的 国外十大域名注册商都有哪些？ 一文。

安装Let's Encrypt客户端（Certbot）

为了从官方PPA安装最新版本的certbot，需要先安装software-properties-common（你的系统也许默认已经安装）

sudo apt install software-properties-common

• 添加官方certbot PPA

add-apt-repository ppa:certbot/certbot

• 更新并安装certbot

apt update
apt install certbot

• 检查版本

certbot --version

从Let's Encrypt获取一个TLS证书

Standalone plugin

如果没有WEB服务器运行在服务器上，并且你希望OpenConnect VPN服务器使用端口443，可以使用standalone plugin来获取TLS证书。

执行以下命令，注意不要忘记设置域名名的A记录：

sudo certbot certonly --standalone --preferred-challenges http --agree-tos --email your-email-address -d vpn.example.com

说明：

• certonly 只获取证书但是不安装

• --standalone 使用standalone plugin来获取证书

• --preferred-challenges http 执行 http-01 challenge 来验证你的域名，也就是使用端口80。默认情况下，standalone plugin是执行tls-sni challenge，使用端口443。由于端游443已经被OpenConnect VPN服务器使用，所以我们更换这个默认特性。

• --agree-tos 同意Let's Encrypt服务条款

• --email 用于账号注册和恢复的邮件地址

• -d 指定域名

webroot Plugin

如果服务器运行了监听爱80和443端口的WEB服务器，并且你希望将OpenConnect VPN服务器运行在其他端口，则可以使用webroot plugin来获取证书。

首先需要创建一个 vpn.example.com 的虚拟机主机

• Apache

编辑 /etc/apache2/sites-available/vpn.example.com.conf 添加如下内容

<VirtualHost *:80>        
        ServerName vpn.example.com

        DocumentRoot /var/www/vpn.example.com
</VirtualHost>

然后创建WEB根目录

sudo mkdir /var/www/vpn.example.com

设置www-data(Apache用户)作为web根目录的owner

sudo chown www-data:www-data /var/www/vpn.example.com -R

激活这个虚拟主机

sudo a2ensite vpn.example.com

重新加载Apache使得变更生效

sudo a2ensite vpn.example.com

一旦虚拟主机创建并激活，运行以下命令来获取Let’s Encrypt证书

sudo certbot certonly --webroot --agree-tos --email your-email-address -d vpn.example.com -w /var/www/vpn.example.com

• Nginx

编辑 /etc/nginx/conf.d/vpn.example.com.conf添加如下部分

server {
      listen 80;
      server_name vpn.example.com;

      root /var/www/vpn.example.com/;

      location ~ /.well-known/acme-challenge {
         allow all;
      }
}

创建WEB根目录

sudo mkdir /var/www/vpn.example.com

设置www-data(Nginx用户)作为web根目录的owner

sudo chown www-data:www-data /var/www/vpn.example.com -R

重启Nginx使之生效

sudo systemctl reload nginx

执行如下命令获取Let's Encrypt证书

sudo certbot certonly --webroot --agree-tos --email your-email-address -d vpn.example.com -w /var/www/vpn.example.com

修改OpenConnect VPN服务器配置

• 修改ocserv配置文件 /etc/ocserv/ocserv.conf

首先配置密码认证。默认情况下，密码认证是通过PAM(Pluggable Authentication Modules)激活，允许使用Ubuntu系统账号来登陆VPN。这个特性可以通过以下行注释掉来禁止

auth = "pam[gid-min=1000]"

如果希望用户使用独立的VPN账号而不是使用系统账号登陆，则添加以下配置使用密码文件来作为密码认证

auth = "plain[passwd=/etc/ocserv/ocpasswd]"

然后就可以使用ocpasswd工具命令来创建/etc/ocserv/ocpasswd文件。

如果不希望ocserv使用TCP和UDP端口443，就修改以下两行配置，设置指定端口。也可以保留默认配置：

tcp-port = 443
udp-port = 443

现在我们要修改服务器证书行，设置成Let's Encrypt服务器证书可key文件

将以下行修改

server-cert = /etc/ssl/certs/ssl-cert-snakeoil.pem
server-key = /etc/ssl/private/ssl-cert-snakeoil.key

修改成

server-cert = /etc/letsencrypt/live/vpn.example.com/fullchain.pem
server-key = /etc/letsencrypt/live/vpn.example.com/privkey.pem

设置客户端最大连接数量，默认是16，设置成0就是不限制

max-clients = 16

每个用户同时可以访问的设备数量，默认是2，设置0就不限制

max-same-clients = 2

修改以下行，将false修改成true以激活MTU descovery，这有助于提高VPN性能

try-mtu-discovery = false

设置默认域名为 vpn.example.com

default-domain = vpn.example.com

修改IPv4网段配置，注意不要和本地的IP网段重合。因为很多局域网都使用 192.168.1.0/24 网段，所以通常要把VPN网段修改成其他网段，例如 10.10.10.0/24

ipv4-network = 10.10.10.0

注意将以下行取消注释，以便能够将所有DNS查询都通过VPN（防止受到DNS污染）

tunnel-all-dns = true

修改DNS解析地址，可以使用Google的公共DNS

dns = 8.8.8.8

如果你提供VPN服务，可以在同一个服务器上运行自己的DNS解析器，此时也可以设置

dns = 10.10.10.1

使用自己的DNS可以加速查询

注释掉所有路由参数（在行首加上#，以下四行都要加上注释）

route = 10.10.10.0/255.255.255.0
route = 192.168.0.0/255.255.0.0
route = fef4:db8:1000:1001::/64
no-route = 192.168.5.0/255.255.255.0

保存并重启ocserv

sudo systemctl restart ocserv

DTLS Handshake Failure（我实践没有遇到报错，所以没有测试）

在 Ubuntu 16.04 和 Ubuntu 18.04，ocserv服务 ocserv.socketr 不会考虑配置文件中 "listen-host" 值，这会导致客户端连接到VPN服务报错：

DTLS handshake failed: Resource temporarily unavailable, try again.

要修复这个问题，需要编辑 ocserv.service 文件。首先文件ocserv.service从 /lib/systemd/systemd/目录复制到/etc/systemd/system/目录，然耦再修改。这样可以避免新版本ocserv软件包覆盖我们到修改（有关修改systemd单元文件，参考man systemd.unit）

sudo cp /lib/systemd/system/ocserv.service /etc/systemd/system/ocserv.service

注释掉以下两行：

Requires=ocserv.socket
Also=ocserv.socket

保存配置文件。然后重新加载systemd

sudo systemctl daemon-reload

停止ocserv.socket并禁用它：

sudo systemctl stop ocserv.socket
sudo systemctl disable ocserv.socket

重启ocserv服务

sudo systemctl restart ocserv.service

创建VPN账号

sudo ocpasswd -c /etc/ocserv/ocpasswd username

这里会提示设置用户username的密码，信息将保存在 /etc/ocserv/ocpasswd

激活IP Forwarding （重要步骤）

为了能够让VPN服务器在VPN客户端和外部网络间路由数据播啊，需要激活IP转发。编辑 /etc/sysctl.conf文件，添加以下配置行到最后：

net.ipv4.ip_forward = 1

保存配置文件，然后使用-p参数执行sysctl命令以便重新加载/etc/sysctl.conf配置：

sudo sysctl -p

配置防火墙的IP Masquerading

请使用以下命令检查服务器的主网卡接口

ip addr

例如，可以检查到网卡接口名字是ens3，则执行

sudo iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

这里命令-A表示添加到nat表的POSTROUTING链。这样就可以把VPN网络连接到Internet，并且把你的网络对外隐藏起来。这样Internet只能看到你的VPN服务器IP，但是不能看到你的VPN客户端IP，类似于你家中路由器隐藏起家庭网络。

现在可以检查一下NAT表的POSTROUTING链，可以看到目标是anywhere的源为anywhere的都执行MASQUERADE。

sudo iptables -t nat -L POSTROUTING

显示输出：

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere

在防火墙上开启端口443（采用iptables方法，可选，我使用另一种ufw方式）

sudo iptables -I INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -I INPUT -p udp --dport 443 -j ACCEPT

不过，iptables规则重启会丢失，所以需要保存：

su -
iptables-save > /etc/iptables.rules

然后创建一个systemd服务来启动时恢复iptables规则：/etc/systemd/system/iptables-restore.service

[Unit]
Description=Packet Filtering Framework
Before=network-pre.target
Wants=network-pre.target

[Service]
Type=oneshot
ExecStart=/sbin/iptables-restore /etc/iptables.rules
ExecReload=/sbin/iptables-restore /etc/iptables.rules
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

然后激活iptables-restore服务

sudo systemctl daemon-reload
sudo systemctl enable iptables-restore

安装和配置客户端

在Ubuntu桌面可以安装OpenConnect VPN客户端

sudo apt install openconnect

然后使用如下命令连接VPN，使用参数-b参数运行在后台background

sudo openconnect -b vpn.example.com:port-number

不过，上述命令是交互方式，如果要使用非交互方式可以采用以下命令：

echo -n password | sudo openconnect -b vpn.example.com -u username --passwd-on-stdin

如果使用Network Manager来管理VPN连接，需要安装以下软件包：

sudo apt install network-manager-openconnect network-manager-openconnect-gnome

系统启动时自动连接

为了让OpenConnect VPN客户端连接到服务器，可以创建如下系统服务单元/etc/systemd/system/openconnect.service：

[Unit]
  Description=OpenConnect VPN Client
  After=network-online.target
  Wants=network-online.target

[Service]
  Type=simple
  ExecStart=/bin/bash -c '/bin/echo -n password | /usr/sbin/openconnect vpn.example.com -u username --passwd-on-stdin'
  ExecStop=/usr/bin/pkill openconnect
  Restart=always
  RestartSec=2

[Install]
  WantedBy=multi-user.target

保存并激活服务

sudo systemctl enable openconnect.service

文件配置中：

• After=network-online.target 和 Wants=network-online.target 使得服务在网络启动之后运行服务

• 由于上述服务依然在network启动前运行，所以添加了Restart=always和RestartSec=2在服务启动失败之后2秒再次启动

• Systemd不能识别pipe管道重定向，所以在ExecStart中包装了命令并运行在bash shell中

• 由于OpenConnect VPN客户端运行在systemd服务，运行在后台，所以不需要添加-b参数。

也可以下载 OpenConnect GUI客户端

自动更新Let's Encrypt Certificate

使用root账号添加

sudo crontab -e

添加最后行：

@daily certbot renew --quiet && systemctl restart ocserv

优化

OpenConnect默认使用TLS over UDP协议（DTLS）来实现更快的速度，但是UDP并不能提供可靠重传。TCP比UDP慢，但是提供了稳定可靠传输。一种优化方式是禁止DTLS，使用标准的TLS（over TCP），然后激活TCP BBR来加速TCP速度。

为了禁止DTLS，注释掉ocserv配置文件的以下行：

udp-port = 443

然后保存并重启ocserv服务

sudo systemctl restart ocserv.service

然后激活TCP BBR，请参考 在Ubuntu 18上启用TCP BBR加速网络性能

问题排查

配置OpenConnect VPN服务器和WEB服务器同时使用端口443

待实践

参考

• Set up OpenConnect VPN Server (ocserv) on Ubuntu 16.04/18.04 with Let’s Encrypt - 这篇是国人撰写最详尽的部署指南，非常详尽而且精确，原作者Xiao Guo An非常用心保持了文档长期更新，值得尊敬

• Ocserv Installation - Debian, Ubuntu