Configurer le serveur VPN OpenConnect (ocserv) sur Debian 10 Buster

Ce tutoriel va vous montrer comment exécuter votre propre serveur VPN en installant le serveur VPN OpenConnect sur Debian 10 Buster. Serveur VPN OpenConnect, alias ocserv , est une implémentation open source du protocole VPN Cisco AnyConnnect, largement utilisé dans les entreprises et les universités. AnyConnect est un protocole VPN basé sur SSL qui permet aux utilisateurs individuels de se connecter à un réseau distant.

Pourquoi configurer votre propre serveur VPN ?

• Vous êtes peut-être un fournisseur de services VPN ou un administrateur système, ce qui vous incombe de configurer votre propre serveur VPN.
• Vous ne faites pas confiance à la politique de non-journalisation des fournisseurs de services VPN, vous optez donc pour l'auto-hébergement.
• Vous pouvez utiliser un VPN pour mettre en œuvre une politique de sécurité réseau. Par exemple, si vous utilisez votre propre serveur de messagerie, vous pouvez demander aux utilisateurs de se connecter uniquement à partir de l'adresse IP du serveur VPN en créant une liste blanche d'adresses IP dans le pare-feu. Ainsi, votre serveur de messagerie est renforcé pour empêcher les activités de piratage.
• Peut-être êtes-vous simplement curieux de savoir comment fonctionne le serveur VPN.

Caractéristiques du serveur VPN OpenConnect

• Léger et rapide. Dans mon test, je peux regarder des vidéos YouTube 4K avec OpenConnect VPN. YouTube est bloqué dans mon pays (Chine).
• Fonctionne sur Linux et la plupart des serveurs BSD.
• Compatible avec le client Cisco AnyConnect
• Il existe un logiciel client OpenConnect pour Linux, macOS, Windows et OpenWRT. Pour Android et iOS, vous pouvez utiliser le client Cisco AnyConnect.
• Prend en charge l'authentification par mot de passe et l'authentification par certificat
• Prend en charge la comptabilité RADIUS.
• Facile à configurer

J'aime particulièrement le fait que par rapport aux autres technologies VPN, il est très facile et pratique pour l'utilisateur final d'utiliser OpenConnect VPN. Chaque fois que j'installe une distribution Linux sur mon ordinateur et que je souhaite débloquer rapidement des sites Web ou masquer mon adresse IP, j'installe le client OpenConnect et me connecte au serveur avec seulement deux lignes de commandes :

sudo apt install openconnectsudo openconnect -b vpn.mydomain.com

Il existe également un client VPN OpenConnect pour Fedora, RHEL, CentOS, Arch Linux et OpenSUSE. Vous pouvez facilement l'installer avec votre gestionnaire de paquets.

sudo dnf install openconnectsudo yum install openconnectsudo pacman -S openconnect

Exigences

Pour suivre ce tutoriel, vous aurez besoin d'un VPS (Virtual Private Server) pouvant accéder librement aux sites bloqués (Hors de votre pays ou système de filtrage Internet). Je recommande Kamatera VPS, qui comprend :

• 30 jours d'essai gratuit.
• À partir de 4 $/mois (1 Go de RAM)
• VPS basé sur KVM hautes performances
• 9 centres de données dans le monde, dont les États-Unis, le Canada, le Royaume-Uni, l'Allemagne, les Pays-Bas, Hong Kong et Israël

Suivez le tutoriel lié ci-dessous pour créer votre serveur Linux VPS chez Kamatera.

• Comment créer un serveur VPS Linux sur Kamatera

Une fois que vous avez un VPS exécutant Debian 10 buster, suivez les instructions ci-dessous.

Vous avez également besoin d'un nom de domaine pour activer HTTPS pour OpenConnect VPN. J'ai enregistré mon nom de domaine auprès de NameCheap car le prix est bas et ils offrent une protection de la confidentialité whois gratuite à vie.

Étape 1 :Installer le serveur VPN OpenConnect sur Debian 10 Buster

Connectez-vous à votre serveur Debian 10 Buster via SSH. Ensuite, utilisez apt pour installer ocserv paquet du dépôt Debian.

sudo apt updatesudo apt install ocserv

Une fois installé, le serveur VPN OpenConnect est automatiquement démarré. Vous pouvez vérifier son statut avec :

statut systemctl ocserv

Exemple de sortie :

● ocserv.service - Serveur VPN SSL OpenConnect Chargé :chargé (/lib/systemd/system/ocserv.service ; activé ; préréglage fournisseur :activé Actif :actif (en cours d'exécution) depuis le jeu 2017-11-30 05:45 :07 UTC ; il y a 11s 

 Astuce :si la commande ci-dessus ne se ferme pas immédiatement, vous pouvez appuyer sur la touche Q pour reprendre le contrôle du terminal.
 

 S'il ne fonctionne pas, vous pouvez le démarrer avec :
 
sudo systemctl start ocserv
 

 Par défaut, le serveur VPN OpenConnect écoute sur les ports TCP et UDP 443. S'il est utilisé par le serveur Web, le serveur VPN ne peut pas être démarré. Nous verrons plus tard comment changer le port dans le fichier de configuration OpenConnect VPN.
 

 Si un pare-feu s'exécute sur votre serveur, vous devrez ouvrir les ports 80 et 443. Par exemple, si vous utilisez UFW, exécutez les commandes suivantes.
 
sudo ufw allow 80/tcpsudo ufw allow 443/tcp
 
Étape 2 :Installez le client Let's Encrypt (Certbot) sur le serveur Debian 10 Buster
 

 Le gnutls-bin package installé avec ocserv fournit des outils pour créer votre propre autorité de certification et certificat de serveur, mais nous obtiendrons et installerons le certificat Let's Encrypt. L'avantage d'utiliser le certificat Let's Encrypt est qu'il est gratuit, plus facile à configurer et approuvé par le logiciel client VPN.
 

 Exécutez les commandes suivantes pour installer le client Let's Encrypt (certbot) sur Debian 10.
 
sudo apt install certbot
 

 Pour vérifier le numéro de version, exécutez
 
certbot --version
 

 Exemple de sortie :
 
certbot 0.31.0
 
Étape 3 :Obtenir un certificat TLS de confiance auprès de Let's Encrypt
 

 Je recommande d'utiliser le standalone ou webroot plugin pour obtenir le certificat TLS.
 
Plug-in autonome
 

 S'il n'y a pas de serveur Web en cours d'exécution sur votre serveur Debian 10 Buster et que vous souhaitez que le serveur VPN OpenConnect utilise le port 443, vous pouvez utiliser le plug-in autonome pour obtenir le certificat TLS de Let's Encrypt. Définissez un enregistrement DNS A pour vpn.votredomaine.com sur le site Web de votre registraire de domaine, puis exécutez la commande suivante pour obtenir un certificat.
 
sudo certbot certonly --standalone --preferred-challenges http --agree-tos --email [email protected] -d vpn.example.com
 

 Explication :
 
 
certonly  :obtenez un certificat, mais ne l'installez pas.
 
--standalone :Utilisez le plugin autonome pour obtenir un certificat
 
--preferred-challenges http  :Effectuez le défi http-01 pour valider notre domaine, qui utilisera le port 80.
 
--agree-tos  :Acceptez les conditions d'utilisation de Let's Encrypt.
 
--email  :L'adresse e-mail est utilisée pour l'enregistrement et la récupération du compte.
 
-d :Spécifiez votre nom de domaine.
 
 

 Comme vous pouvez le voir sur la capture d'écran suivante, j'ai réussi à obtenir le certificat.
 

 
 
Utilisation du plug-in Webroot
 

 Si votre serveur Debian 10 Buster a un serveur Web qui écoute sur les ports 80 et 443, c'est une bonne idée d'utiliser le plugin webroot pour obtenir un certificat car le plugin webroot fonctionne avec à peu près tous les serveurs web et nous n'avons pas besoin d'installer le certificat dans le serveur Web.
 

 Tout d'abord, vous devez créer un hôte virtuel pour vpn.example.com.
 
Apache
 

 Si vous utilisez le serveur Web Apache, créez un hôte virtuel sous /etc/apache2/sites-available/ répertoire.
 
sudo nano /etc/apache2/sites-available/vpn.example.com.conf
 

 Et collez les lignes suivantes dans le fichier.
 
 ServerName vpn.example.com DocumentRoot /var/www/ocserv
 

 Enregistrez et fermez le fichier. Créez ensuite le répertoire racine Web.
 
sudo mkdir /var/www/ocserv
 

 Définissez www-data (utilisateur Apache) comme propriétaire de la racine Web.
 
sudo chown www-data:www-data /var/www/ocserv -R
 

 Activez cet hôte virtuel.
 
sudo a2ensite vpn.example.com
 

 Rechargez Apache pour que les modifications prennent effet.
 
sudo systemctl recharger apache2
 

 Une fois l'hôte virtuel créé et activé, exécutez la commande suivante pour obtenir le certificat Let's Encrypt à l'aide du plug-in Webroot.
 
sudo certbot certonly --webroot --agree-tos --email [email protected] -d vpn.example.com -w /var/www/ocserv/
 
Nginx
 

 Si vous utilisez le serveur Web Nginx, créez un hôte virtuel sous /etc/nginx/conf.d/ .
 
sudo nano /etc/nginx/conf.d/vpn.example.com.conf
 

 Collez les lignes suivantes dans le fichier.
 
serveur { écoute 80 ; nom_serveur vpn.exemple.com ; racine /var/www/ocserv/; location ~ /.well-known/acme-challenge { tout autoriser ; }}
 

 Enregistrez et fermez le fichier. Créez ensuite le répertoire racine Web.
 
sudo mkdir /var/www/ocserv
 

 Définissez www-data (utilisateur Nginx) comme propriétaire de la racine Web.
 
sudo chown www-data:www-data /var/www/ocserv -R
 

 Rechargez Nginx pour que les modifications prennent effet.
 
sudo systemctl recharger nginx
 

 Une fois l'hôte virtuel créé et activé, exécutez la commande suivante pour obtenir le certificat Let's Encrypt à l'aide du plug-in Webroot.
 
sudo certbot certonly --webroot --agree-tos --email [email protected] -d vpn.example.com -w /var/www/ocserv/
 
Étape 4 :Modifier le fichier de configuration du serveur VPN OpenConnect
 

 Modifier le fichier de configuration ocserv.
 
sudo nano /etc/ocserv/ocserv.conf
 

 Tout d'abord, configurez l'authentification par mot de passe. Par défaut, l'authentification par mot de passe via PAM (Pluggable Authentication Modules) est activée, ce qui vous permet d'utiliser des comptes système Debian pour vous connecter à partir de clients VPN. Ce comportement peut être désactivé en commentant la ligne suivante.
 
auth ="pam[gid-min=1000]"
 

 Si nous voulons que les utilisateurs utilisent des comptes VPN distincts au lieu de comptes système pour se connecter, nous devons ajouter la ligne suivante pour activer l'authentification par mot de passe avec un fichier de mots de passe.
 
auth ="plain[passwd=/etc/ocserv/ocpasswd]"
 

 Après avoir fini de modifier ce fichier de configuration, nous verrons comment utiliser ocpasswd outil pour générer le /etc/ocserv/ocpasswd fichier, qui contient une liste de noms d'utilisateur et de mots de passe codés.
 

 Remarque :Ocserv prend en charge l'authentification par certificat client, mais Let's Encrypt n'émet pas de certificat client. Si vous souhaitez activer l'authentification par certificat, vous devez configurer votre propre autorité de certification pour émettre un certificat client.
 

 Ensuite, si vous ne voulez pas qu'ocserv utilise les ports TCP et UDP 443 (un serveur Web utilise le port 443), recherchez les deux lignes suivantes et modifiez le numéro de port. Sinon, laissez-les tranquilles.
 
tcp-port =443udp-port =443
 

 Trouvez ensuite les deux lignes suivantes. Nous devons les changer.
 
server-cert =/etc/ssl/certs/ssl-cert-snakeoil.pemserver-key =/etc/ssl/private/ssl-cert-snakeoil.key
 

 Remplacez le paramètre par défaut par le chemin du certificat de serveur Let's Encrypt et du fichier de clé de serveur.
 
server-cert =/etc/letsencrypt/live/vpn.example.com/fullchain.pemserver-key =/etc/letsencrypt/live/vpn.example.com/privkey.pem
 

 Ensuite, définissez le nombre maximal de clients. La valeur par défaut est 128. Réglez sur zéro pour un nombre illimité.
 
max-clients =128
 

 Définissez le nombre d'appareils à partir desquels un utilisateur peut se connecter en même temps. La valeur par défaut est 2. Réglez sur zéro pour un nombre illimité.
 
max-même-clients =2
 

 Par défaut, les paquets keepalive sont envoyés toutes les 300 secondes (5 minutes). Je préfère utiliser un court laps de temps (30 secondes) pour réduire le risque d'interruption de la connexion VPN.
 
garder en vie =30
 

 Ensuite, trouvez la ligne suivante. Changer false à true pour activer la découverte MTU.
 
try-mtu-discovery =false
 

 Vous pouvez définir la durée pendant laquelle un client est autorisé à rester inactif avant d'être déconnecté via les deux paramètres suivants. Si vous préférez que le client reste connecté indéfiniment, commentez ces deux paramètres.
 
idle-timeout=1200mobile-idle-timeout=1800
 

 Après cela, définissez le domaine par défaut sur vpn.example.com.
 
default-domain =vpn.example.com
 

 La configuration du réseau IPv4 est la suivante par défaut. Cela causera des problèmes car la plupart des routeurs domestiques définissent également la plage de réseau IPv4 sur 192.168.1.0/24 .
 
ipv4-network =192.168.1.0ipv4-netmask =255.255.255.0
 

 Nous pouvons utiliser une autre plage d'adresses IP privées (telle que 10.10.10.0/24) pour éviter les collisions d'adresses IP, alors changez la valeur de ipv4-network à
 
réseau-ipv4 =10.10.10.0
 

 Décommentez maintenant la ligne suivante pour tunnelliser toutes les requêtes DNS via le VPN.
 
tunnel-all-dns =true
 

 Modifier l'adresse du résolveur DNS. Vous pouvez utiliser le serveur DNS public de Google.
 
dns =8.8.8.8dns =8.8.4.4
 

 ou le serveur DNS public de Cloudflare.
 
dns =1.1.1.1dns =1.0.0.1
 

 Remarque :Si vous êtes un fournisseur de services VPN, il est recommandé d'exécuter votre propre résolveur DNS. Si un résolveur DNS s'exécute sur le même serveur, spécifiez le DNS sous
 
dns =10.10.10.1
 

 10.10.10.1 est l'adresse IP du serveur VPN OpenConnect dans le réseau local VPN. Cela accélérera un peu les recherches DNS pour les clients car la latence du réseau entre le serveur VPN et le résolveur DNS est éliminée.
 

 Mettez ensuite en commentaire tous les paramètres de route (ajoutez le caractère # au début des lignes suivantes), ce qui définira le serveur comme passerelle par défaut pour les clients.
 
#route =10.0.0.0/8#route =172.16.0.0/12#route =192.168.0.0/16#route =fd00::/8#route =default#no-route =192.168.5.0/255.255. 255.0
 

 Enregistrez et fermez le fichier Puis redémarrez le serveur VPN pour que les modifications prennent effet.
 
sudo systemctl redémarrer ocserv
 
Étape 5 :Créer des comptes VPN
 

 Utilisez maintenant l'outil ocpasswd pour générer des comptes VPN.
 
sudo ocpasswd -c /etc/ocserv/ocpasswd username
 

 Il vous sera demandé de définir un mot de passe pour l'utilisateur et les informations seront enregistrées dans /etc/ocserv/ocpasswd dossier. Pour réinitialiser le mot de passe, exécutez simplement à nouveau la commande ci-dessus.
 
Étape 6 :Activer le transfert IP dans le noyau Linux
 

 Pour que le serveur VPN achemine les paquets entre le client VPN et Internet, nous devons activer le transfert IP. Modifier sysctl.conf fichier.
 
sudo nano /etc/sysctl.conf
 

 Ajoutez la ligne suivante à la fin de ce fichier.
 
net.ipv4.ip_forward =1
 

 Enregistrez et fermez le fichier. Appliquez ensuite les modifications avec la commande ci-dessous. Le  -p l'option chargera les paramètres sysctl depuis /etc/sysctl.conf dossier. Cette commande conservera nos modifications lors des redémarrages du système.
 
sudo sysctl -p
 
Étape 7 :Configurer le masquage IP dans le pare-feu
 

 Nous devons configurer le masquage IP dans le pare-feu du serveur, afin que le serveur devienne un routeur virtuel pour les clients VPN. J'utiliserai UFW, qui est un frontal du pare-feu iptables. Installez UFW sur Debian avec :
 
sudo apt install ufw
 

 Tout d'abord, vous devez autoriser le trafic SSH.
 
sudo ufw autorise 22/tcp
 

 Ensuite, recherchez le nom de l'interface réseau principale de votre serveur.
 
adresse IP
 

 Comme vous pouvez le voir, il s'appelle ens3 sur mon serveur Debian.
 

 
 

 Pour configurer le masquage IP, nous devons ajouter la commande iptables dans un fichier de configuration UFW.
 
sudo nano /etc/ufw/before.rules
 

 Par défaut, il existe des règles pour le filter table. Ajoutez les lignes suivantes à la fin de ce fichier. Remplacer ens3 avec votre propre nom d'interface réseau.
 
# NAT table rules*nat:POSTROUTING ACCEPT [0:0]-A POSTROUTING -s 10.10.10.0/24 -o ens3 -j MASQUERADE# Terminez chaque table avec la ligne 'COMMIT' ou ces règles ne seront pas traitéCOMMIT
 

 Dans l'éditeur de texte Nano, vous pouvez aller à la fin du fichier en appuyant sur Ctrl+W , puis en appuyant sur Ctrl+V .
 

 
 

 Les lignes ci-dessus s'ajouteront (-A ) une règle à la fin de POSTROUTING chaîne de nat table. Il reliera votre réseau privé virtuel à Internet. Et cachez également votre réseau du monde extérieur. Ainsi, Internet ne peut voir que l'IP de votre serveur VPN, mais pas l'IP de votre client VPN, tout comme votre routeur domestique masque votre réseau domestique privé.
 

 Par défaut, UFW interdit le transfert de paquets. Nous pouvons autoriser le transfert pour notre réseau privé. Trouvez le ufw-before-forward chain dans ce fichier et ajoutez les 3 lignes suivantes, qui accepteront le transfert de paquets si l'IP source ou l'IP de destination est dans le 10.10.10.0/24 plage.
 
# autoriser le transfert pour le réseau de confiance-A ufw-before-forward -s 10.10.10.0/24 -j ACCEPT-A ufw-before-forward -d 10.10.10.0/24 -j ACCEPT
 

 
 

 Enregistrez et fermez le fichier. Activez ensuite UFW.
 
activer sudo ufw
 

 Si vous avez déjà activé UFW, vous pouvez utiliser systemctl pour redémarrer UFW.
 
sudo systemctl redémarrer ufw
 

 Maintenant, si vous listez les règles dans la chaîne POSTROUTING de la table NAT en utilisant la commande suivante :
 
sudo iptables -t nat -L POSTROUTING
 

 Vous pouvez voir la règle de mascarade.
 

 
 

 Le traitement des règles de pare-feu par UFW peut prendre un certain temps. Si la règle de mascarade ne s'affiche pas, redémarrez à nouveau UFW (sudo systemctl restart ufw ).
 
Étape 8 :Ouvrez le port 443 dans le pare-feu
 

 Exécutez la commande suivante pour ouvrir les ports TCP et UDP 443. Si vous avez configuré un port différent pour ocserv, remplacez 443 par votre port configuré.
 
sudo ufw allow 443/tcpsudo ufw allow 443/udp
 

 Le serveur VPN OpenConnect est maintenant prêt à accepter les connexions client.
 

 Pour ceux d'entre vous qui utilisent un résolveur DNS local, si vous avez spécifié 10.10.10.1 comme serveur DNS pour les clients VPN, vous devez autoriser les clients VPN à se connecter au port 53 avec la règle UFW suivante.
 
sudo ufw insert 1 autoriser à partir de 10.10.10.0/24
 

 Vous devez également modifier la configuration du serveur DNS BIND pour permettre aux clients VPN d'envoyer des requêtes DNS récursives comme ci-dessous.
 
allow-recursion { 127.0.0.1; 10.10.10.0/24 ; } ;
 
Comment installer et utiliser le client VPN OpenConnect sur Debian 10 Buster Desktop
 

 Exécutez la commande suivante pour installer le client de ligne de commande OpenConnect VPN sur le bureau Debian.
 
sudo apt install openconnect
 

 Vous pouvez vous connecter au VPN à partir de la ligne de commande comme ci-dessous. -b le fera s'exécuter en arrière-plan une fois la connexion établie.
 
sudo openconnect -b vpn.example.com
 

 Par défaut, le client openconnect contactera le port 443 du serveur. Si vous avez configuré un port différent pour le serveur, vous pouvez ajouter le numéro de port.
 
sudo openconnect -b vpn.example.com:port-number
 

 Il vous sera demandé d'entrer le nom d'utilisateur et le mot de passe VPN. Si la connexion est établie avec succès, vous verrez le message suivant.
 
Réponse CONNECT obtenue :HTTP/1.1 200 CONNECTEDCSTP connecté. DPD 60, Keepalive 300Connecté en tant que 10.10.10.139, utilisant SSL + LZ4, avec DTLS + LZ4 en coursEn cours en arrière-plan ; pid 17050
 

 Si la connexion a échoué, vous pouvez consulter le journal ocserv pour savoir pourquoi. (Peut-être que vous n'avez pas saisi le mot de passe correctement.)
 
sudo journaltcl -eu ocserv
 

 Pour arrêter la connexion, exécutez :
 
sudo pkill openconnect
 

 Pour exécuter le client de manière non interactive, utilisez la syntaxe suivante.
 
echo -n mot de passe | sudo openconnect -b vpn.example.com -u username --passwd-on-stdin
 

 Si vous souhaitez utiliser Network Manager pour gérer la connexion VPN, vous devez installer ces packages.
 
sudo apt install network-manager-openconnect network-manager-openconnect-gnome
 

 Si vous êtes connecté avec succès au serveur VPN, mais que votre adresse IP publique ne change pas, c'est parce que le transfert IP ou le masquage IP ne fonctionne pas. Une fois, j'ai eu une faute de frappe dans ma commande iptables, ce qui a empêché mon ordinateur de naviguer sur Internet.
 
Connexion automatique au démarrage du système
 

 Pour permettre au client VPN OpenConnect de se connecter automatiquement au serveur au démarrage, nous pouvons créer une unité de service systemd.
 
sudo nano /etc/systemd/system/openconnect.service
 

 Mettez les lignes suivantes dans le fichier. Remplacez le texte rouge.
 
[Unité] Description=Client VPN OpenConnect After=network-online.target Wants=network-online.target[Service] Type=simple ExecStart=/bin/bash -c '/bin/echo -n password | /usr/sbin/openconnect vpn.example.com -u username --passwd-on-stdin' KillSignal=SIGINT Restart=always RestartSec=2[Install] WantedBy=multi-user.target
 

 Enregistrez et fermez le fichier. Activez ensuite ce service pour qu'il démarre au démarrage.
 
sudo systemctl enable openconnect.service
 

 Explication du contenu du fichier :
 
 
After=network-online.target et Wants=network-online.target exécuter ce service une fois le réseau activé.
 
En réalité, ce service peut toujours fonctionner avant que le réseau ne soit opérationnel. Nous ajoutons Restart=always et RestartSec=2 pour redémarrer ce service après 2 secondes si ce service échoue.
 
Systemd ne reconnaît pas la redirection de canal. Donc dans le ExecStart directive, nous enveloppons la commande de guillemets simples et l'exécutons avec le shell Bash.
 
Étant donné que le client VPN OpenConnect fonctionnera en tant que service systemd, qui s'exécute en arrière-plan, il n'est pas nécessaire d'ajouter -b drapeau à openconnect commande.
 
Le KillSignal indique à Systemd d'envoyer le SIGINT signaler quand le systemctl stop openconnect commande est émise. Cela effectuera un arrêt propre en fermant la session et en restaurant les paramètres du serveur DNS et la table de routage du noyau Linux.
 
 

 Pour démarrer ce service Systemd immédiatement, exécutez
 
sudo systemctl start openconnect
 

 Pour arrêter ce service Systemd, exécutez
 
sudo systemctl stop openconnect
 
Redémarrage automatique lorsque la connexion VPN est interrompue
 

 Parfois, la connexion VPN s'interrompait pour diverses raisons. Pour que le client VPN redémarre automatiquement, modifiez le fichier crontab de l'utilisateur root.
 
sudo crontab -e
 

 Ajoutez la ligne suivante à la fin de ce fichier.
 
* * * * * ping -c 10 10.10.10.1> /dev/null || systemctl redémarrer openconnect
 

 Cette tâche Cron s'exécutera toutes les minutes pour vérifier si le client VPN peut envoyer un ping à l'adresse IP privée du serveur VPN (10.10.10.1). Si le ping échoue, la commande de droite sera exécutée pour redémarrer le client VPN. || est l'opérateur OR de Bash. Il exécute la commande de droite uniquement si la commande de gauche a renvoyé une erreur.
 

 Enregistrez et fermez le fichier.
 
Client graphique OpenConnect pour Windows et MacOS
 

 Ils peuvent être téléchargés à partir de la page Github de l'interface graphique OpenConnect.
 
Vitesse
 

 OpenConnect VPN est assez rapide. Je peux l'utiliser pour regarder des vidéos 4k sur YouTube. Comme vous pouvez le voir, la vitesse de connexion est de 63356 Kbps , ce qui correspond à 61 Mbit/s .
 

 
 

 Et voici les résultats des tests sur speedtest.net.
 

 
 
Optimisation de la vitesse
 

 OpenConnect utilise par défaut le protocole TLS sur UDP (DTLS) pour atteindre une vitesse plus rapide, mais UDP ne peut pas fournir une transmission fiable. TCP est plus lent que UDP mais peut fournir une transmission fiable. Un conseil d'optimisation que je peux vous donner est de désactiver DTLS, d'utiliser TLS standard (sur TCP), puis d'activer TCP BBR pour augmenter la vitesse TCP.
 

 Pour désactiver DTLS, commentez (ajoutez le symbole # au début) la ligne suivante dans le fichier de configuration ocserv.
 
udp-port =443
 

 Enregistrez et fermez le fichier. Redémarrez ensuite le service ocserv.
 
sudo systemctl redémarrer ocserv.service
 

 Pour activer TCP BBR, veuillez consulter le didacticiel suivant. Notez que vous devez désactiver DTLS dans ocserv, sinon TCP BBR ne fonctionnera pas.
 
 
Comment améliorer facilement les performances du réseau Debian en activant TCP BBR
 
 

 Dans mon test, TLS standard avec TCP BBR activé est deux fois plus rapide que DTLS.
 

 Un autre facteur très important affectant la vitesse est la qualité de la connexion entre votre ordinateur local et le serveur VPN. Si vous vivez au Moyen-Orient et que le serveur VPN est situé aux États-Unis, la vitesse sera lente. Choisissez un centre de données proche de chez vous.
 
Renouvellement automatique du certificat Let's Encrypt
 

 Modifiez le fichier crontab de l'utilisateur root.
 
sudo crontab -e
 

 Ajoutez la ligne suivante à la fin du fichier pour exécuter la tâche Cron quotidiennement. Si le certificat expire dans 30 jours, certbot essaiera de renouveler le certificat. Il est nécessaire de redémarrer le service ocserv pour que le serveur VPN récupère le nouveau certificat et le fichier de clé.
 
@daily certbot renouveler --quiet &&systemctl restart ocserv
 
Conseils de dépannage
 

 Notez que si vous utilisez OpenVZ VPS, assurez-vous d'activer le périphérique de réseau virtuel TUN dans le panneau de configuration VPS. (Si vous utilisez Kamatera VPS, vous disposez d'un VPS basé sur KVM, vous n'avez donc pas à vous en soucier.)
 

 Si vous rencontrez un problème, consultez le journal du serveur OpenConnect VPN.
 
sudo journalctl -eu ocserv.service
 

 J'ai découvert que si je changeais le port 443 pour un port différent, le grand pare-feu de Chine bloquerait cette connexion VPN.
 

 Si ocserv vous dit qu'il ne peut pas charger le /etc/ocserv/ocserv.conf fichier, vous pouvez arrêter ocserv.
 
sudo systemctl stop ocserv
 

 Ensuite, exécutez-le au premier plan avec le débogage activé.
 
sudo /usr/sbin/ocserv --foreground --pid-file /run/ocserv.pid --config /etc/ocserv/ocserv.conf --debug=10
 

 Ensuite, la sortie peut vous donner des indices sur la raison pour laquelle ocserv ne fonctionne pas.
 
Faire en sorte que le serveur VPN OpenConnect et le serveur Web utilisent le port 443 en même temps
 

 Veuillez lire l'article suivant :
 
 
Exécutez OpenConnect VPN Server et Apache/Nginx sur le même boîtier avec HAProxy
 
 
Comment désactiver TLS 1.0 et TLS 1.1 dans ocserv
 

 Le conseil PCI a rendu obsolète TLS 1.0 le 30 juin 2018 et les principaux navigateurs Web vont désactiver TLS 1.0 et TLS 1.1 en 2020. Nous devrions faire de même avec le serveur VPN. Modifiez le fichier de configuration principal.
 
sudo nano /etc/ocserv/ocserv.conf
 

 Recherchez la ligne suivante :
 
tls-priorities ="NORMAL :%SERVER_PRECEDENCE :%COMPAT :-RSA :-VERS-SSL3.0 :-ARCFOUR-128"
 

 Pour désactiver TLS 1.0 et TLS 1.1 dans le serveur VPN OpenConnect, ajoutez simplement -VERS-TLS1.0 et -VERS-TLS1.1 dans la ligne.
 
tls-priorities ="NORMAL :%SERVER_PRECEDENCE :%COMPAT :-RSA :-VERS-SSL3.0 :-ARCFOUR-128 :-VERS-TLS1.0 :-VERS-TLS1.1"
 

 Enregistrez et fermez le fichier. Redémarrez ensuite ocserv.
 
sudo systemctl redémarrer ocserv
 

 Désormais, ocserv n'acceptera que TLS 1.3 et TLS 1.2. Pour plus d'informations sur la configuration du paramètre TLS dans ocserv, veuillez consulter Chaînes de priorité GnuTLS.
 

 Pour vérifier si TLS 1.0 est pris en charge sur votre serveur VPN OpenConnect, exécutez la commande suivante.
 
openssl s_client -connect vpn.votre-domaine.com:443 -tls1
 

 Et vérifiez TLS 1.1
 
openssl s_client -connect vpn.votre-domaine.com:443 -tls1_1
 

 Si vous voyez le message suivant dans la sortie, cela signifie que la version TLS n'est pas prise en charge.
 
Nouveau, (NONE), le chiffrement est (NONE) La renégociation sécurisée N'EST PAS prise en charge
 
Configuration par utilisateur ou par groupe
 

 Ocserv permet des configurations par utilisateur et par groupe. Pour activer cette fonctionnalité, décommentez les deux lignes suivantes dans /etc/ocserv/ocserv.conf fichier.
 
config-per-user =/etc/ocserv/config-per-user/config-per-group =/etc/ocserv/config-per-group/
 

 Enregistrez et fermez le fichier. Créez ensuite le répertoire de configuration par utilisateur et par groupe.
 
sudo mkdir /etc/ocserv/config-per-user/sudo mkdir /etc/ocserv/config-per-group/
 

 Ensuite, vous pouvez créer un fichier sous ces deux répertoires. Par exemple, créez le user1 fichier pour permettre une configuration personnalisée pour user1 .
 
sudo nano /etc/ocserv/config-per-user/user1
 

 Vous pouvez également créer le group1 fichier pour permettre une configuration personnalisée pour le groupe nommé group1 .
 
sudo nano /etc/ocserv/config-per-group/group1
 

 Vous pouvez ajouter quelque chose comme ci-dessous dans le fichier.
 
route =10.10.10.0/255.255.255.0
 

 Cela signifie qu'après user1 connectez-vous à ce serveur VPN, uniquement le trafic vers le 10.10.10.0/24 réseau sera acheminé via le serveur VPN. Le trafic vers d'autres adresses IP est acheminé via la passerelle d'origine. C'est ce qu'on appelle le split tunneling, qui est utile lorsque :
 
 
Vous voulez simplement que les clients VPN puissent parcourir les ressources internes et vous ne voulez pas que tout le trafic passe par le serveur VPN.
 
Vous devez créer un réseau privé pour les serveurs cloud.
 
Le client doit se connecter à plusieurs VPN. Un VPN peut utiliser un tunnel partagé et l'autre utiliser un tunnel complet.
 
 

 Enregistrez et fermez le fichier. Redémarrez ocserv pour que les modifications prennent effet.
 
Comment exécuter plusieurs instances d'ocserv
 

 Un processus ocserv ne peut se lier qu'à un seul port TCP ou UDP sur votre serveur. Si vous souhaitez autoriser ocserv à se lier à plusieurs ports TCP ou UDP, vous devez exécuter plusieurs processus ocserv. C'est très simple. Copiez le /lib/systemd/system/ocserv.service dans un nouveau fichier.
 
sudo cp /lib/systemd/system/ocserv.service /etc/systemd/system/ocserv2.service
 

 Modifiez ensuite le nouveau fichier.
 
sudo nano /etc/systemd/system/ocserv2.service
 

 Modifier
 
/etc/ocserv/ocserv.conf
 

 à
 
/etc/ocserv/ocserv2.conf
 

 Enregistrez et fermez le fichier. Ensuite, vous pouvez modifier le /etc/ocserv/ocserv2.conf fichier et ajoutez vos configurations personnalisées. Une fois que vous avez terminé, démarrez le deuxième service ocserv.
 
sudo systemctl start ocserv2