Anyconnect
  • aliang 2022-12-28 13:52:15 1751

    AnyConnect作为Cisco专有技术,其服务端只能运行在Cisco设备上,即如果没有购买Cisco相关设备,将无法使用AnyConnect服务端。而OpenConnect(ocserv)的出现解决了这一个问题,OpenConnect是一个开源项目,其目标是在相对廉价的linux设备上运行与AnyConnect协议兼容的服务端,以此来使用该协议而不需要购买Cisco专有设备。
    AnyConnect目前支持 Windows 7+ / Android / IOS / Mac ,其他设备没有客户端所以无法使用,例如 XP系统。

    OpenConnect特点:

    • 我们需要的是安全内网访问,不是快速地绕过防火墙… 而且后期需要加入证书认证
    • OpenVPN 协议特征过于明显,虽然 AnyConnect 协议特征也十分明显,但是由于目前只有一些大厂在用,一般而言直接拨位与海外的 VPN 网关不容易受到干扰或受到的干扰较小
    • 对于例如 iOS/BlackBerry BBOS 系统而言,一般自带 AnyConnect 连接工具
    • 多系统支持,Windows 7+ / Android / IOS / Mac

    部署安装

    名称 结果 备注
    实测环境 centos7.3 实测通过
    支持平台 CentOS/RedHat 7  
    git路径 ocserv-auto.sh  
    官方客户端下载 下载地址  
    gitee下载 下载地址  
    安卓客户端下载 下载地址  
    IOS客户端下载 在app store中搜索anyconnect安装即可  
    执行方式 /bin/bash ocserv-auto.sh  

    ios客户端使用示例

    • 1.在app store 搜索anyconnect下载安装
    • 2.打开客户端在 设置处 关闭阻止不信任的服务器
      因为脚本默认采用的自签名证书,同时第一次的连接时候也会提示不信任的服务器,选择继续即可
    • 3.新建服务器配置,输入脚本创建用户名和密码即可

    安装:

    执行/bin/bash ocserv-auto.sh即可完成一键安装,安装过程会交互式提示需要输出账号密码
    安装完成会自动添加到开启启动项

     

    配置:

    主配置文件
    /etc/ocserv/ocserv.conf

    注意以上一键部署脚本会自动添加route配置,如果你想连接上anyconnect之后,全部流量都走vpn的话,请注释该配置文件以route开头的配置。如果只有部分网段走vpn的话,可以自行配置。比如连接上vpn之后,只有访问公司192.168.0.0/25网段才走vpn,可以在该配置文件之后添加
    route=192.168.0.0/255.255.255.0

    相关常用命令如下

    创建用户
    ocpasswd -c /etc/ocserv/ocpasswd user

    删除用户
    ocpasswd -c /etc/ocserv/ocpasswd -d user

    启动服务
    service ocserv start

    关闭服务器
    service ocserv stop

    重启服务
    service ocserv restart