OpenWrt路由器搭建ocserv实现VPN客户端智能代理
本帖最后由 有事您说话 于 2016-11-18 13:46 编辑PS. 文章出自 http://blog.ltns.info/linux/openwrt_ocserv_vpn_client_smart_proxy/
OpenWrt路由器配置SS客户端及智能代理,路由器内网侧的用户端,比如未root的Android、未越狱的iOS等设备,无需任何设置就能智能分流翻WALL。至于在外网侧,因之前曾在 VPS上基于Debian配置ocserv证书认证(兼容Cisco AnyConnect),所以未越狱的iOS设备上安装 Cisco官方的 AnyConnect iOS客户端(Android设备可安装 客户端OpenConnect)之后也能实现智能分流翻WALL,但最多只能接受服务端推送的200条路由。于是决定在路由器上安装 ocserv(兼容 Cisco AnyConnect)作为 VPN Server,未越狱的 iOS设备等在外面通过移动互联网作为 VPN Client登录进来后,就可以像路由器内网侧用户端那样实现智能分流翻WALL,而且因为无需服务端推送路由所以登录的速度也比较快。
VPN服务端的设置步骤一:
手上的 Netgear WNDR4300 这款无线路由器已刷 Gargoyle石像鬼固件(OpenWrt 的web前端之一),通过Putty 登录路由器后执行安装opkg updateopkg install ocserv#opkg install luci-app-ocserv #Gargoyle固件不能安装luci程序/etc/init.d/ocserv enable #设置随路由器开机自启动/etc/init.d/ocserv start #启动ocserv
注:只有配置了LuCI这个web前端的OpenWrt才可以安装luci程序,且只适用于ocserv的用户名/密码方式,不支持证书方式。如果只需要 ocserv的用户名/密码方式登录,可以参考下图在luci界面里进行设置,然后直接到步骤四
不过还是建议采用证书方式,客户端访问 VPN服务器更安全、也更便捷。
步骤二:
如上启动 ocserv之后,在路由器上会自动生成如下七个文件/etc/ocserv/pki/ca.tmpl #模板文件
/etc/ocserv/pki/server.tmpl
/etc/ocserv/ca.pem #ca证书
/etc/ocserv/ca-key.pem
/etc/ocserv/ocserv.conf.template #示例配置文件
/etc/ocserv/server-cert.pem #服务器证书
/etc/ocserv/server-key.pem尚缺少用户证书,先新建一个用户模板文件 /etc/ocserv/pki/client.tmplcn = clientunit = "users"expiration_days = 3650 #证书有效期十年,可自定义signing_keytls_www_client
然后执行如下命令生成用户证书cd /etc/ocservln -s pki/ca.tmpl ca.tmpl #制作软链接文件ln -s pki/server.tmpl server.tmplln -s ca.pem ca-cert.pemcp pki/client.tmpl client.tmplcp ocserv.conf.template ocserv.conf
certtool --generate-privkey --outfileuser-key.pem
certtool --generate-certificate--load-privkey user-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkeyca-key.pem --template client.tmpl --outfile user-cert.pem客户端证书 user-cert.pem 还不能直接使用(除了 ocserv官网 推荐的Windows客户端 openconnect-gui 之外),需通过 OpenSSL转换成 .p12格式openssl pkcs12 -export -inkey user-key.pem-in user-cert.pem -name "client" -certfile ca-cert.pem -caname"VPN CA" -out user-cert.p12#按提示设置证书使用密码,或直接回车不设密码
步骤三:
修改配置文件 /etc/ocserv/ocserv.conflisten-host-is-dyndns = true #针对路由器使用动态域名的情形auth = "certificate"max-clients = 16max-same-clients = 10tcp-port = 443 #默认的监听端口号udp-port = 443keepalive = 32400dpd = 240mobile-dpd = 1800try-mtu-discovery = trueserver-cert = /etc/ocserv/server-cert.pemserver-key = /etc/ocserv/server-key.pemca-cert = /etc/ocserv/ca-cert.pemtls-priorities ="NORMAL:%SERVER_PRECEDENCE:%COMPAT"auth-timeout = 40mobile-idle-timeoutcookie-timeout = 86400000rekey-time = 86400000rekey-method = ssluse-utmp = trueuse-occtl = truepid-file = /var/run/ocserv.pidsocket-file = /var/run/ocserv-socketrun-as-user = ocserv #用户:用户组需和实际的一致run-as-group = ocservnet-priority = 5cgroup = "cpuset,cpu:test"device = vpnsdefault-domain = www.example.com #最好是路由器的动态域名ipv4-network = 10.10.0.0ipv4-netmask = 255.255.255.0dns = 10.10.0.1 #可使用路由器的LAN IP,但建议还是用ocserv网络的ping-leases = falseoutput-buffer = 10#route = ip网段/子网掩码 #注释掉所有路由推送即可实现全局路由,即,客户端所有流量走VPNroute-add-cmd = "ip route add %{R} dev%{D}"route-del-cmd = "ip route delete %{R} dev%{D}"cisco-client-compat =truecustom-header = "X-DTLS-MTU: 1200"custom-header = "X-CSTP-MTU: 1200"注:跟VPS上用的配置文件不一致的地方已用红色字体标出,其他参数详见示例配置文件里的详细说明,或者见参考文章,这里不再赘述。以及ocserv的启动脚本 /etc/init.d/ocserv...start() {rm -f /var/etc/ocserv.confln -s /etc/ocserv/ocserv.conf/var/etc/ocserv.conf service_start/usr/sbin/ocserv -c /var/etc/ocserv.conf}
stop() { service_stop/usr/sbin/ocserv# delay needed to avoid restart failuresleep 3} reload() {rm -f /var/etc/ocserv.confln -s /etc/ocserv/ocserv.conf/var/etc/ocserv.conf /usr/bin/occtlshow status >/dev/null 2>&1 iftest $? != 0;then start else /usr/bin/occtlreload fi}
步骤四:
修改自定义防火墙文件 /etc/firewall.user,添加如下五行内容iptables -I INPUT -p tcp --dport 443 -j ACCEPTiptables -I INPUT -p udp --dport 443 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.10.0.0/24 -o pppoe-wan -j MASQUERADEiptables -I FORWARD -i vpns+ -s 10.10.0.0/24 -j ACCEPTiptables -I INPUT -i vpns+ -s 10.10.0.0/24 -j ACCEPT
重启ocserv和防火墙ip addr add 10.10.0.1/24 dev eth0.2 #手工添加ocserv网络的LAN IP,如绑定的WAN网卡不是 eth0.2请根据自己的实际情况修改/etc/init.d/ocserv restart/etc/init.d/firewall restart
注:OpenWrt BB 14.07官方源的ocserv 0.8.9其LAN IP地址不固定,只能手工添加否则DNS失效。当然,也可直接使用路由器的LAN IP如 “dns = 192.168.1.1”,不过考虑到有时VPN客户端会从某个同样为 192.168.1.0/24 的局域网发起连接,会造成网络冲突,因此还是建议把dns设置为ocserv网络的。另外,ocserv作者提到 0.9.2版本(有兴趣的可尝试OpenWrt trunk)不再需要手工添加,ocserv会自动生成。
步骤五:
OpenWrt固件的web管理可能已启用 https协议,导致ocserv启动失败并提示443端口已被占用,这时要么修改ocserv的监听端口,要么关闭web管理的 https协议,即,修改 /etc/config/uhttpd文件,注释掉其中的两行内容(Gargoyle固件可在GUI界面关闭)# listlisten_https '0.0.0.0:443'# listlisten_https '[::]:443'注:完成后需执行 /etc/init.d/uhttpd restart 以使修改生效。
至此,ocserv服务端的设置就已完成。另外,还可以参考 之前的文章 中提及的脚本,以方便用户证书的制作。最后,建议把路由器上的模板文件和(除了服务端证书之外的)所有证书文件备份到本地电脑硬盘,这样将来比如路由器重刷固件或者迁移到另一个路由器时,无需重新制作各个客户端证书并一一通知对方更新了。当然,到时路由器上的服务器证书还是需要重新制作一下。#在前述的步骤一之后上传备份的模板和ca证书覆盖,然后在步骤二之后执行如下命令重新制作服务器证书cd /etc/ocservcerttool --generate-certificate--load-privkey server-key.pem --load-ca-certificate ca-cert.pem--load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem
/etc/init.d/ocserv restart
VPN客户端的设置以未越狱的 iOS设备为例,先导入 .p12证书文件(比如以邮件附件的形式接收,导入成功后可在 “设置 > 通用 > 描述文件” 里看到证书),然后运行 Cisco AnyConnect程序,添加VPN连接
注:若非默认的端口号443,则需在服务器地址栏里填入“动态域名:端口号”的格式。回到主界面即可开始连接,若DNS无效可启用 FIPS Mode后再试
另外,还是同一个客户端软件,再添加一个VPN连接(服务器地址栏填入VPS的,并选择相应的证书),就可以直接登录VPS上的ocserv服务端了,只是服务端推送路由的数量有限制,但可以作为备用。
补充1:
VPN连接时,因为是免费的私有证书所以会提示 “不可信来源”,另外,还会提示 “证书与服务器名称不符”,可无视警告点继续。
不过有强迫症的话 :D,可以修改路由器上的服务器模板文件 /etc/ocserv/pki/server.tmpl的第一行cn=Gargoyle #改成cn=路由器动态域名serial=2expiration_days=-1 #有效期至9999年,但有的平台如iOS7登录时可能识别为1970年(会提示证书过期了,但不影响使用),可自行修改signing_keyencryption_key注:如需要,ca模板文件 /etc/ocserv/pki/ca.tmpl 里的有效期也可以修改一下。然后重新制作ca证书(不是必须的)和服务器证书,并重启ocserv服务端。#certtool --template/etc/ocserv/pki/ca.tmpl --generate-self-signed --load-privkey/etc/ocserv/ca-key.pem--outfile/etc/ocserv/ca.pem #ca证书可以不重新制作,若重新制作了,则用户证书相应地也要重新制作一遍
certtool --template/etc/ocserv/pki/server.tmpl --generate-certificate --load-privkey/etc/ocserv/server-key.pem --load-ca-certificate /etc/ocserv/ca.pem--load-ca-privkey /etc/ocserv/ca-key.pem --outfile /etc/ocserv/server-cert.pem
/etc/init.d/ocserv restart只要VPN服务端配置文件ocserv.conf文件里的 default-domain、服务器证书里的 cn 以及VPN客户端设置里的服务器地址,这三者一致,VPN连接时就不会提示 “证书与服务器名称不符”。至于要消除 “不可信来源” 的提示,可以去申请比如首年免费的 starssl证书,这里 有人折腾过。
补充2:
前面设置过的ocserv随路由器开机自启动的功能有时可能会失效,可以在 /etc/rc.local文件中添加两行/etc/init.d/ocserv restartsleep 5
还可以创建一个检查用脚本(以防ocserv进程意外被杀),如 /root/ocservup.sh,内容如下#!/bin/shkillall -0 ocserv 2> /dev/nullif [ $? != 0 ]thenlogger \"$0: Starting ocserv ...\"/usr/sbin/ocserv -c /var/etc/ocserv.confelselogger \"$0: ocserv already running:$(pidof ocserv)\"fi注:创建后需执行 chmod +x /root/ocservup.sh,以添加可执行属性。然后把该脚本添加到定时任务 /etc/crontabs/root3 */2 * * * /root/ocservup.sh #每两小时检查一次
2016.09.16 更新
这两天把手上的 Linksys E2000路由器 升级到 Chaos Calmer 15.05.1固件,其中的 ocserv版本0.10.12-1,无需再手工添加 ocserv网络的LAN IP了,而且兼容全平台(Win、Mac OS、iOS和Android) Cisco Anyconnect 客户端的证书登录。不过 CC固件里的 dnsmasq-full这个软件默认启用了localservice,按照 OpenWRT wiki页面 里的说法,意为只接受来自本地 subnet的dns查询请求,这就会导致 vpn客户端的dns失效。但在 luci界面中没找到修改该参数的地方,于是只好编辑启动脚本 /etc/init.d/dnsmasq,注释掉或删掉对应的如下一行... append_bool"$cfg" proxydnssec "--proxy-dnssec" # append_bool "$cfg" localservice"--local-service" append_bool"$cfg" quietdhcp "--quiet-dhcp"...
最后重启一下 dnsmasq服务/etc/init.d/dnsmasq restart
2016.10.24 更新
新版本的 ocserv配置文件有点不同,贴上我自己用的,供参考listen-host-is-dyndns = trueauth = "certificate"max-clients = 16max-same-clients = 10tcp-port = 443udp-port = 443keepalive = 32400dpd = 240mobile-dpd = 1800try-mtu-discovery = trueserver-cert = /etc/ocserv/server-cert.pemserver-key = /etc/ocserv/server-key.pemca-cert = /etc/ocserv/ca-cert.pemcert-user-oid = 2.5.4.3#cert-group-oid = 2.5.4.11tls-priorities ="NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"auth-timeout = 40mobile-idle-timeoutcookie-timeout = 86400000rekey-time = 86400000rekey-method = sslconnect-script = /etc/ocserv/connect-scriptdisconnect-script = /etc/ocserv/connect-scriptuse-utmp = trueuse-occtl = truepid-file = /var/run/ocserv.pidsocket-file = /var/run/ocserv-socketrun-as-user = ocservrun-as-group = ocservnet-priority = 5cgroup = "cpuset,cpu:test"device = vpnsdefault-domain = www.example.comipv4-network = 10.10.0.0ipv4-netmask = 255.255.255.0dns = 10.10.0.1ping-leases = falseoutput-buffer = 10#route = ip网段/子网掩码route-add-cmd = "ip route add %{R} dev%{D}"route-del-cmd = "ip route delete %{R} dev%{D}"cisco-client-compat =truecustom-header = "X-DTLS-MTU: 1200"custom-header = "X-CSTP-MTU: 1200"
其中的脚本文件 /etc/ocserv/connect-script 可用于比如识别正在连接的用户信息(如下所示)等,或者只保留首尾两行即可。#!/bin/sh#echo $USERNAME : $REASON : $DEVICEcase "$REASON" in connect)echo $USERNAME "connected" >>/tmp/ocservinfodate >> /tmp/testocservecho $REASON $USERNAME $DEVICE $IP_LOCAL$IP_REMOTE $IP_REAL >> /tmp/ocservinfo ;; disconnect)echo $USERNAME "disconnected">> /tmp/ocservinfodate >> /tmp/ocservinfo ;;esacexit 0
最后还要添加该文件的可执行属性,重启ocservchmod +x /etc/ocserv/connect-script/etc/init.d/ocserv restart
这个贴赞赞赞 :loveliness:you are 666
页:
[1]