前言:
2022春节以来,新冠病毒又在全国各地爆发,很多公司都被迫安排员工转为线上远程办公的方式进行。
相对如深信服之类昂贵的SSL VPN,最近无意中在Github看到了这款免费的SSL VPN,并进行了安装测试,总体来说该项目可以很好的满足企业远程在家办公的需求,且安装部署、使用都相对比较简单易上手,最重要的是免费、免费、免费!
但在测试使用过程中唯一一个比较遗憾的点:没有集成LDAP的功能,这对一般企业使用的管理员账号管理会比较麻烦,而且客户端使用者也无法自行修改密码。
项目介绍:
AnyLink 基于 ietf-openconnect 协议开发,并且借鉴了 ocserv 的开发思路,使其可以同时兼容 AnyConnect 客户端。
AnyLink 使用 TLS/DTLS 进行数据加密,因此需要 RSA 或 ECC 证书,可以通过 Let's Encrypt 和 TRustAsia 申请免费的 SSL 证书。
AnyLink 服务端仅在 centos 7、Ubuntu 18.04 测试通过,如需要安装其他系统,需要服务端支持 tun/tap 功能、ip 设置命令。
上链接:
https://github.com/bjdgyc/anylink
安装方式:个人喜好问题,使用编译安装
1.编译安装
2.使用Docker安装
部署环境:
系统版本:Centos 7.9;
网络需求:一张内网网卡、一张外网网卡;
内存:8G
硬盘:80G
安装前准备:
a.关闭selinux
b.g
安装步骤:
1.下载程序压缩包:
wget https://github.com/bjdgyc/anylink/releases/download/v0.7.3/anylink-deploy.tar.gz
2.将安装包解压到etc目录:
tar -zxvf anylink-deploy.tar.gz -C /etc
3.进入anylink-deploy目录:
cd anylink-deploy
4.生成web管理端的admin的密码(密码中不能使用$):
[root@vpn-test anylink-deploy]# ./anylink tool -p qwer1234
Passwd:$2a$10$mw.35yANbMoaFNGs5dZKXeCq1iQHxK7bnOhBJOHobIhDGCPr1qo2G
5.生成jwt密钥:
[root@vpn-test anylink-deploy]# ./anylink tool -s
Secret:jaodE8zrFbsmFyPn9A0UO0EW3YBoWA3CX4OL_EJS8tG0ZDUcQH4nr8Uu3nsAFVSy7q3zsloI
6.进入conf目录进行配置:
vi server.toml 修改如下:
#示例配置信息
#其他配置文件,可以使用绝对路径
#或者相对于 anylink 二进制文件的路径
#数据文件
db_type = "sqlite3"
db_source = "./conf/anylink.db"
#证书文件 使用跟Nginx一样的证书即可
cert_file = "./conf/vpn_cert.pem"
cert_key = "./conf/vpn_cert.key"
files_path = "./conf/files"
profile = "./conf/profile.xml"
#日志目录,为空写入标准输出
log_path = "./log"
# 添加日志文件路径
log_level = "info"
# 修改日志等级为
info pprof = false
#系统名称
issuer = "ssl vpn"
# 修改系统名称 #后台管理用户
admin_user = "admin"
#pass qwer1234 你可以将明文密码写在这里,不建议
admin_pass = "$2a$10$mw.35yANbMoaFNGs5dZKXeCq1iQHxK7bnOhBJOHobIhDGCPr1qo2G"
# 填 入第4步生成的密文
jwt_secret = "jaodE8zrFbsmFyPn9A0UO0EW3YBoWA3CX4OL_EJS8tG0ZDUcQH4nr8Uu3nsAFVSy7q3zsloI"
# 填 入第5步生成的jwt密钥
#服务监听地址
server_addr = ":443"
# 客户端要连接的端口,如果有需要请自行修改,安全组记得开放该端口
#开启 DTLS, 默认关闭
server_dtls = false
server_dtls_addr = ":4433"
#后台服务监听地址
admin_addr = ":8800"
# 后台管理端口
#开启tcp proxy protocol协议
proxy_protocol = false
link_mode = "tun"
# 网络模式,只演示该模式,其他模式请自行参考github
#客户端分配的ip地址池
ipv4_master = "eth0" # 网卡名,前面查看绑定内网的网卡名称
ipv4_cidr = "192.168.10.0/24" # 如果没有和内网网段冲突就不要改了,这个是分配给客户端的ip地 址池,并且后面配置nat也要与这个地址池保持一致
ipv4_gateway = "192.168.10.1"
ipv4_start = "192.168.10.100"
ipv4_end = "192.168.10.200"
#最大客户端数量,最大客户数量需要与上面的IP地址段数量匹配。
max_client = 100
#单个用户同时在线数量
max_user_client = 3
#IP租期(秒)
ip_lease = 1209600
#默认选择的组
default_group = "one"
#客户端失效检测时间(秒)dpd > keepalive
cstp_keepalive = 20
cstp_dpd = 30
mobile_keepalive = 40
mobile_dpd = 50
#session过期时间,用于断线重连,0永不过期
session_timeout = 3600
auth_timeout = 0
audit_interval = -1
7.创建日志目录,与上述配置路径保持一致
mkdir /etc/anylink-deploy/log
8.打开profile.xml文件,并修改如下:
vi profile.xml
<HostName>ssl vpn</HostName> # 第30行,最好与server.toml配置文件中的系统名称保持一 致,用于客户端区分
<HostAddress>123.123.13.13:443</HostAddress> # 第31行,客户端连接地址,域名加端口,或者 IP加端口(需公网IP地址)
9.导入SSL 证书,我这边已经有现成的证书了,上传到服务器后,复制到配置文件指定的目录/etc/anylink-deploy/conf 即可。
配置IPV4转发及NAT
1.开启服务器ipv4转发
echo ".NET.ipv4.ip_forward=1" >> /etc/sysctl.conf
2.立即生效:
sysctl -p
3.设置nat ,eth0替换为你系统上内网网卡的名称即可。192.168.10.0/24与你server.toml中的客户端IP地址池保持一致。
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
启动anylink服务
1. 复制service文件到系统中
cp /etc/anylink-deploy/systemd/anylink.service /usr/lib/systemd/system/
2. 启动anylink
systemctl start anylink
3. 查看启动状态
systemctl status anylink
浏览器访问后台管理:
1. 访问地址公网IP+端口(默认8800),输入账号(admin)和 密码(qwer1234)点击登陆
http://123.123.13.13:8800