Cách cài đặt OpenConnect VPN Server trên Ubuntu 22.04

[theanh]

OpenConnect VPN hay còn gọi là ocserv là giải pháp VPN miễn phí mã nguồn mở với hiệu suất và tính năng cấp doanh nghiệp. Giải pháp này dựa trên giao thức VPN Cisco AnyConnect được sử dụng rộng rãi trong ngành công nghiệp doanh nghiệp. Trong hướng dẫn này, bạn sẽ tìm hiểu cách cài đặt máy chủ VPN OpenConnect trên máy Ubuntu 22.04. Bạn cũng sẽ học cách sử dụng máy khách OpenConnect để kết nối với máy chủ.

Điều kiện tiên quyết​

• 
  Máy chủ chạy Ubuntu 22.04.
  
• 
  Người dùng không phải root có quyền sudo.
  
• 
  Tên miền đủ điều kiện (FQDN) như vpn.example.com.
  
• 
  Đảm bảo mọi thứ đều đã cập nhật.

$ sudo apt update
$ sudo apt upgrade

[*]
Một số gói mà hệ thống của bạn cần.

$ sudo apt install wget curl nano software-properties-common dirmngr apt-transport-https gnupg2 ca-certificates lsb-release ubuntu-keyring unzip -y

Một số gói này có thể đã được cài đặt trên hệ thống của bạn.

Bước 1 - Cấu hình Tường lửa​

Bước đầu tiên là cấu hình tường lửa. Ubuntu đi kèm với ufw (Uncomplicated Firewall) theo mặc định.

Kiểm tra xem tường lửa có đang chạy không.

$ sudo ufw status

Bạn sẽ nhận được kết quả sau.

Status: inactive

Cho phép cổng SSH để tường lửa không làm gián đoạn kết nối hiện tại khi bật nó.

$ sudo ufw allow OpenSSH

Cũng cho phép các cổng HTTP và HTTPS.

$ sudo ufw allow http
$ sudo ufw allow https

Bật Tường lửa

$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

Kiểm tra trạng thái của tường lửa một lần nữa.

$ sudo ufw status

Bạn sẽ thấy một đầu ra tương tự.

Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
80/tcp ALLOW Anywhere
443 ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
443 (v6) ALLOW Anywhere (v6)

Bước 2 - Cài đặt Git​

Bước 3 - Cài đặt OpenConnect​

Ubuntu 22.04 đi kèm với phiên bản cũ hơn (1.1.3) của OpenConnect. Nếu bạn hài lòng với điều đó, bạn có thể cài đặt nó bằng lệnh sau.

$ sudo apt install ocserv

Tuy nhiên, đối với hướng dẫn này, chúng tôi sẽ cài đặt phiên bản mới nhất (1.1.6) của OpenConnect. Để thực hiện điều này, chúng ta sẽ cần xây dựng nó từ nguồn.

Cài đặt các phụ thuộc cần thiết để xây dựng nguồn.

$ sudo apt install -y libgnutls28-dev libev-dev libpam0g-dev liblz4-dev libseccomp-dev \	libreadline-dev libnl-route-3-dev libkrb5-dev libradcli-dev \	libcurl4-gnutls-dev libcjose-dev libjansson-dev libprotobuf-c-dev \	libtalloc-dev libhttp-parser-dev protobuf-c-compiler gperf \	nuttcp lcov libuid-wrapper libpam-wrapper libnss-wrapper \	libsocket-wrapper gss-ntlmssp haproxy iputils-ping freeradius \	gawk gnutls-bin iproute2 yajl-tools tcpdump autoconf automake

Sao chép kho lưu trữ Git ocserv.

$ git clone https://gitlab.com/openconnect/ocserv.git

Chuyển sang kho lưu trữ đã sao chép thư mục.

$ cd ocserv

Tạo tập lệnh cấu hình.

$ autoreconf -fvi

Biên dịch mã nguồn. Bỏ qua bất kỳ cảnh báo nào đã lỗi thời.

$ ./configure && make

Cài đặt ocserv.

$ sudo make install

Các tệp sẽ được cài đặt vào /usr/local/bin và /usr/local/sbin thư mục. Sao chép tệp dịch vụ systemd.

$ sudo cp doc/systemd/standalone/ocserv.service /etc/systemd/system/ocserv.service

Mở tệp dịch vụ để chỉnh sửa.

$ sudo nano /etc/systemd/system/ocserv.service

Thay đổi đường dẫn đến tệp nhị phân ocserv theo lệnh sau dòng

$ ExecStart=/usr/sbin/ocserv --foreground --pid-file /run/ocserv.pid --config /etc/ocserv/ocserv.conf

đến dòng sau.

$ ExecStart=/usr/local/sbin/ocserv --foreground --pid-file /run/ocserv.pid --config /etc/ocserv/ocserv.conf

Lưu tệp bằng cách nhấn Ctrl + X và nhập Y khi được nhắc.

Tải lại hệ thống daemon.

$ sudo systemctl daemon-reload

Bước 4 - Tạo chứng chỉ SSL​

Chúng ta cần cài đặt Certbot để tạo chứng chỉ SSL. Bạn có thể cài đặt Certbot bằng kho lưu trữ của Ubuntu hoặc lấy phiên bản mới nhất bằng công cụ Snapd. Chúng ta sẽ sử dụng phiên bản Snapd.

Ubuntu 22.04 đi kèm với Snapd được cài đặt theo mặc định. Chạy các lệnh sau để đảm bảo rằng phiên bản Snapd của bạn được cập nhật.

$ sudo snap install core && sudo snap refresh core

Cài đặt Certbot.

$ sudo snap install --classic certbot

Sử dụng lệnh sau để đảm bảo rằng lệnh Certbot có thể chạy được bằng cách tạo liên kết tượng trưng đến /usr/bin thư mục.

$ sudo ln -s /snap/bin/certbot /usr/bin/certbot

Có hai khả năng khi tạo chứng chỉ SSL. Nếu bạn không có máy chủ web đang chạy trên hệ thống của mình, bạn có thể sử dụng phương pháp độc lập để tạo chứng chỉ. Chạy lệnh sau để tạo chứng chỉ bằng plugin độc lập cho Certbot.

$ sudo certbot certonly --standalone --agree-tos --no-eff-email --staple-ocsp --preferred-challenges http -m [emailprotected] -d vpn.example.com

Lệnh trên sẽ tải chứng chỉ xuống thư mục /etc/letsencrypt/live/vpn.example.com trên máy chủ của bạn.

Tiếp theo, nếu bạn có máy chủ đang chạy trên hệ thống của mình, bạn có thể sử dụng plugin webroot hoặc plugin Nginx hoặc Apache nếu bạn đang sử dụng chúng. Đối với máy chủ Nginx hoặc Apache, bạn chỉ cần chạy lệnh bên dưới.

$ sudo certbot certonly --nginx --agree-tos --no-eff-email --staple-ocsp --preferred-challenges http -m [emailprotected] -d vpn.example.com

hoặc

$ sudo certbot certonly --apache --agree-tos --no-eff-email --staple-ocsp --preferred-challenges http -m [emailprotected] -d vpn.example.com

Nếu bạn có máy chủ khác, thì chúng ta sẽ cần sử dụng plugin webroot. Để thực hiện điều đó, hãy tạo thư mục gốc của web.

$ sudo mkdir -p /var/www/ocserv

Đặt máy chủ làm chủ sở hữu của thư mục gốc của web. Trong trường hợp của chúng tôi, chúng tôi đang sử dụng www-data làm người dùng máy chủ.

$ sudo chown www-data:www-data /var/www/ocserv -R

Tiếp theo, hãy cấu hình máy chủ của bạn để phục vụ miền vpn.example.com tại thư mục /var/www/ocserv. Khởi động lại máy chủ. Tiếp theo, tạo chứng chỉ bằng lệnh sau.

$ sudo certbot certonly --webroot --agree-tos --no-eff-email --staple-ocsp --preferred-challenges http -m [emailprotected] -d vpn.example.com

Kiểm tra dịch vụ lập lịch gia hạn Certbot.

$ sudo systemctl list-timers

Bạn sẽ tìm thấy snap.certbot.renew.service là một trong những dịch vụ được lên lịch chạy.

NEXT LEFT LAST PASSED UNIT ACTIVATES
Wed 2023-04-19 10:31:47 UTC 2h 55min left Wed 2023-04-19 03:31:58 UTC 4h 3min ago ua-timer.timer ua-timer.service
Wed 2023-04-19 12:02:42 UTC 4h 26min left Wed 2023-04-19 03:19:20 UTC 4h 16min ago motd-news.timer motd-news.service
Wed 2023-04-19 18:19:56 UTC 10h left Wed 2023-04-19 07:19:52 UTC 16min ago apt-daily.timer apt-daily.service
Wed 2023-04-19 22:51:00 UTC 15h left n/a n/a snap.certbot.renew.timer snap.certbot.renew.service

Thực hiện chạy thử quy trình để kiểm tra xem việc gia hạn SSL có hoạt động không tốt.

$ sudo certbot renew --dry-run

Nếu bạn không thấy lỗi nào, bạn đã hoàn tất. Chứng chỉ của bạn sẽ tự động gia hạn.

Bước 5 - Cấu hình OpenConnect​

Nếu bạn đã cài đặt ocserv bằng APT, thì tệp cấu hình sẽ có sẵn tại vị trí /etc/ocserv/ocserv.conf. Nhưng nếu bạn xây dựng gói từ nguồn, chúng ta cần sao chép tệp cấu hình.

Tạo thư mục cho tệp cấu hình.

$ sudo mkdir /etc/ocserv

Sao chép tệp cấu hình.

$ sudo cp /home/username/ocserv/doc/sample.config /etc/ocserv/ocserv.conf

Mở tệp để chỉnh sửa.

$ sudo nano /etc/ocserv/ocserv.conf

Thay đổi giá trị tham số auth thành giá trị sau. Điều này sẽ cho phép người dùng sử dụng các tài khoản VPN riêng biệt.

auth = "plain[passwd=/etc/ocserv/ocpasswd]"

Theo mặc định, OpenConnect sử dụng 443 cổng TCP và UDP. Chúng tôi sẽ chỉ sử dụng cổng TCP để kết nối, do đó, hãy tắt cổng UDP bằng cách bình luận nó.

tcp-port = 443
#udp-port = 443

Nếu bạn có máy chủ web đang chạy trên cổng 443, hãy thay đổi giá trị của cổng TCP bằng cách thay đổi giá trị.

tcp-port = 8443

Tiếp theo, tìm các biến server-crt và server-key và thay đổi giá trị của chúng thành sau.

server-cert = /etc/letsencrypt/live/vpn.example.com/fullchain.pem
server-key = /etc/letsencrypt/live/vpn.example.com/privkey.pem

Đặt số lượng máy khách tối đa được phép. Giá trị mặc định là 16. Đặt thành 0 để không giới hạn.

max-clients = 16

Đặt số lượng thiết bị mà người dùng có thể sử dụng cùng lúc. Giá trị mặc định là 2. Đặt thành 0 để không giới hạn.

max-same-clients = 2

Theo mặc định, OpenConnect gửi các gói tin duy trì trạng thái kết nối sau mỗi 9 giờ (32400 giây). Giá trị này quá cao. Đặt thành 60 giây để giảm khả năng mất kết nối VPN.

keepalive = 60

Thay đổi giá trị của try-mtu-discovery thành true để bật chức năng khám phá MTU. Chức năng này có thể tối ưu hóa hiệu suất VPN.

try-mtu-discovery = true

Cấu hình thời gian mà máy khách được phép ở chế độ chờ trước khi ngắt kết nối bằng cách bỏ chú thích các biến sau. Nếu bạn muốn máy khách duy trì kết nối vô thời hạn, hãy để nguyên như vậy.

idle-timeout=1200
mobile-idle-timeout=1800

Đặt tên miền mặc định cho OpenConnect VPN.

default-domain = vpn.example.com

Thay đổi cấu hình IPv4 mặc định để tránh xung đột địa chỉ IP. Chúng tôi sẽ sử dụng 10.10.10.0 làm giá trị.

ipv4-network = 10.10.10.0

Bỏ chú thích dòng sau để tạo đường hầm cho tất cả các truy vấn DNS qua VPN.

tunnel-all-dns = true

Thay đổi trình phân giải DNS thành Google DNS. Thêm mục nhập thứ hai nữa.

dns = 8.8.8.8
dns = 8.8.4.4

Bình luận tất cả các tham số tuyến đường bằng cách thêm ký hiệu thăng (#) vào trước chúng.

#route = 10.10.10.0/255.255.255.0
#route = 192.168.0.0/255.255.0.0
#route = fef4:db8:1000:1001::/64
#route = default
# Subsets of the routes above that will not be routed by
# the server.
#no-route = 192.168.5.0/255.255.255.0

Lưu tệp bằng cách nhấn Ctrl + X và nhập Y khi được nhắc.

Bước 6 - Khởi động Máy chủ OpenConnect​

Khởi động máy chủ VPN OpenConnect.

$ sudo systemctl start ocserv

Kiểm tra trạng thái của dịch vụ.

$ sudo systemctl status ocserv

Bạn sẽ nhận được thông báo tương tự đầu ra.

? ocserv.service - OpenConnect SSL VPN server Loaded: loaded (/etc/systemd/system/ocserv.service; disabled; vendor preset: enabled) Active: active (running) since Thu 2023-04-20 08:52:18 UTC; 2s ago Docs: man:ocserv(8) Main PID: 19965 (ocserv-main) Tasks: 2 (limit: 1026) Memory: 1.4M CPU: 9ms CGroup: /system.slice/ocserv.service ??19965 ocserv-main ??19966 ocserv-sm
Apr 20 08:52:18 openconnect ocserv[19965]: note: skipping 'pid-file' config option
Apr 20 08:52:18 openconnect ocserv[19965]: note: vhost:default: setting 'plain' as primary authentication method
Apr 20 08:52:18 openconnect ocserv[19965]: error connecting to sec-mod socket '/var/run/ocserv-socket.a4413bc9': No such file or directory
Apr 20 08:52:18 openconnect ocserv[19965]: note: setting 'file' as supplemental config option
Apr 20 08:52:18 openconnect ocserv[19965]: listening (TCP) on 0.0.0.0:443...
Apr 20 08:52:18 openconnect ocserv[19965]: listening (TCP) on [::]:443...
Apr 20 08:52:18 openconnect ocserv[19966]: ocserv[19966]: sec-mod: reading supplemental config from files
Apr 20 08:52:18 openconnect ocserv[19966]: sec-mod: reading supplemental config from files
Apr 20 08:52:18 openconnect ocserv[19966]: ocserv[19966]: sec-mod: sec-mod initialized (socket: /var/run/ocserv-socket.a4413bc9.0)
Apr 20 08:52:18 openconnect ocserv[19966]: sec-mod: sec-mod initialized (socket: /var/run/ocserv-socket.a4413bc9.0)

Nếu bạn thấy lỗi liên quan đến kết nối đến sec-mod socket, hãy bỏ qua. Điều đó là bình thường. Nó sẽ khởi tạo tệp nếu không tìm thấy tệp đó.

Bước 7 - Tạo tài khoản VPN​

Bạn có thể tạo tài khoản VPN bằng tiện ích ocpasswd. Chạy lệnh sau để tạo tài khoản VPN mới.

$ sudo ocpasswd -c /etc/ocserv/ocpasswd username
Enter password:
Re-enter password:

Mật khẩu sẽ được lưu vào tệp /etc/ocserv/ocpasswd. Để đặt lại mật khẩu cho username, hãy chạy lại lệnh trên. Chạy lệnh trên với một người dùng khác để tạo một tài khoản khác.

Bước 8 - Bật Chuyển tiếp IP​

Để máy chủ VPN định tuyến các gói tin giữa máy khách và Internet, bạn cần bật chuyển tiếp IP bằng cách chạy lệnh sau.

$ echo "net.ipv4.ip_forward = 1" | sudo tee /etc/sysctl.d/60-custom.conf

Chạy các lệnh sau để bật thuật toán TCP BBR nhằm tăng tốc độ TCP.

$ echo "net.core.default_qdisc=fq" | sudo tee -a /etc/sysctl.d/60-custom.conf
$ echo "net.ipv4.tcp_congestion_control=bbr" | sudo tee -a /etc/sysctl.d/60-custom.conf

Thực hiện các thay đổi vĩnh viễn bằng cách sử dụng lệnh sau lệnh.

$ sudo sysctl -p /etc/sysctl.d/60-custom.conf

Bước 9 - Cấu hình ngụy trang IP​

Bước tiếp theo là thiết lập ngụy trang IP trong tường lửa để máy chủ VPN có thể hoạt động như một bộ định tuyến ảo cho các máy khách. Tìm tên giao diện mạng chính của máy chủ.

$ ip addr

Bạn sẽ nhận được kết quả tương tự.

1: lo:  mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever
2: enp1s0:  mtu 1500 qdisc fq state UP group default qlen 1000 link/ether 56:00:04:67:7e:79 brd ff:ff:ff:ff:ff:ff inet 95.179.138.135/23 metric 100 brd 95.179.139.255 scope global dynamic enp1s0 valid_lft 66999sec preferred_lft 66999sec inet6 2a05:f480:1400:2381:5400:4ff:fe67:7e79/64 scope global dynamic mngtmpaddr noprefixroute valid_lft 2591657sec preferred_lft 604457sec inet6 fe80::5400:4ff:fe67:7e79/64 scope link valid_lft forever preferred_lft forever

Trong trường hợp của chúng tôi, enp1s0 là tên của giao diện. Thêm lệnh iptables vào tệp cấu hình UFW bằng cách mở tệp đó để chỉnh sửa.

$ sudo nano /etc/ufw/before.rules

Thêm các dòng sau vào cuối tệp. Thay thế enp1s0 trong mã bằng giao diện mạng của bạn.

# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.10.10.0/24 -o enp1s0 -j MASQUERADE
# End each table with the 'COMMIT' line or these rules won't be processed
COMMIT

Tìm các dòng sau trong tập tin.

# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT

Dán các dòng sau vào sau nó.

# allow forwarding for trusted network
-A ufw-before-forward -s 10.10.10.0/24 -j ACCEPT
-A ufw-before-forward -d 10.10.10.0/24 -j ACCEPT

Lưu tập tin bằng cách nhấn Ctrl + X và nhập Y khi được nhắc.

Khởi động lại tường lửa.

$ sudo systemctl restart ufw

Bạn có thể kiểm tra quy tắc Masquerade bằng lệnh sau.

$ sudo iptables -t nat -L POSTROUTING

Bạn sẽ nhận được thông báo sau output.

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.10.10.0/24 anywhere

Bước 10 - Kết nối bằng OpenConnect Client​

Chúng tôi sẽ cài đặt OpenConnect Client trên máy Ubuntu 22.04. Chạy lệnh sau để cài đặt máy khách.

$ sudo apt install openconnect

Tiếp theo, kết nối với máy chủ VPN bằng lệnh sau. Cờ -b khiến máy khách chạy ở chế độ nền sau khi kết nối được thiết lập.

$ sudo openconnect -b vpn.example.com:443

Bạn sẽ được yêu cầu nhập tên người dùng và mật khẩu VPN. Nhập thông tin xác thực đã tạo ở bước 7.

POST https://vpn.example.com/
Connected to 95.179.138.135:443
SSL negotiation with vpn.example.com
Connected to HTTPS on vpn.example.com with ciphersuite (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GCM)
XML POST enabled
Please enter your username.
Username:navjot
POST https://vpn.example.com/auth
Please enter your password.
Password:
POST https://vpn.example.com/auth

Bạn sẽ thấy đầu ra sau khi kết nối thành công. DTLS bị vô hiệu hóa vì chúng tôi đã vô hiệu hóa UDP.

Got CONNECT response: HTTP/1.1 200 CONNECTED
CSTP connected. DPD 90, Keepalive 60
No DTLS address
Set up UDP failed; using SSL instead
Configured as 192.168.1.13, with SSL connected and DTLS disabled
Continuing in background; pid 1650

Chạy lệnh sau để dừng kết nối.

$ sudo pkill openconnect

Chúng ta hãy tạo một số tập lệnh systemd cho OpenConnect. Tập lệnh đầu tiên là để máy khách tự động kết nối khi khởi động hệ thống.

Tạo và mở tệp dịch vụ để chỉnh sửa.

$ sudo nano /etc/systemd/system/openconnect.service

Dán mã sau vào đó.

[Unit] Description=OpenConnect VPN Client After=network-online.target systemd-resolved.service Wants=network-online.target
[Service] Type=simple ExecStart=/bin/bash -c '/bin/echo -n password | /usr/sbin/openconnect vpn.example.com -u username --passwd-on-stdin' KillSignal=SIGINT Restart=always RestartSec=2
[Install] WantedBy=multi-user.target

Lưu tệp bằng cách nhấn Ctrl + X và nhập Y khi được nhắc.

Kích hoạt dịch vụ.

$ sudo systemctl enable openconnect.service

Khởi động dịch vụ.

$ sudo systemctl start openconnect.service

Để tự động khởi động lại kết nối VPN khi PC của bạn tiếp tục từ trạng thái tạm dừng, bạn cần tạo một tập lệnh systemd khác.

Tạo và mở tập lệnh khởi động lại cho chỉnh sửa.

$ sudo nano /etc/systemd/system/openconnect-restart.service

Dán mã sau vào đó.

[Unit]
Description=Restart OpenConnect client when resuming from suspend
After=suspend.target
[Service]
Type=simple
ExecStart=/bin/systemctl --no-block restart openconnect.service
[Install]
WantedBy=suspend.target

Lưu tệp bằng cách nhấn Ctrl + X và nhập Y khi được nhắc.

Bật dịch vụ.

$ sudo systemctl enable openconnect-restart.service

Chúng ta cũng có thể tạo một dịch vụ để tự động khởi động lại kết nối VPN khi nó bị ngắt. Tạo và mở dịch vụ kiểm tra VPN để chỉnh sửa.

$ sudo nano /etc/systemd/system/openconnect-check.service

Dán mã sau vào đó.

[Unit]
Description=OpenConnect VPN Connectivity Checker
After=openconnect.service
[Service]
Type=simple
ExecStart=/bin/bash -c 'for ((; ; )) do (ping -c9 10.10.10.1 || systemctl restart openconnect) done'
[Install]
WantedBy=multi-user.target

Lưu tệp bằng cách nhấn Ctrl + X và nhập Y khi được nhắc.

Bật và bắt đầu dịch vụ.

$ sudo systemctl enable enable openconnect-check.service --now

Điều này sẽ chạy lệnh ping mãi mãi để kiểm tra kết nối VPN. Nếu nó bị rớt, nó sẽ tự động khởi động lại OpenConnect.

Bạn có thể tải xuống OpenConnect GUI Clients nếu bạn muốn. Tuy nhiên, chúng đã không được cập nhật trong một thời gian khá dài. Nếu bạn muốn có một máy khách GUI được cập nhật, bạn có thể truy cập Kho lưu trữ GitLab GUI OpenConnect và tự biên dịch nó.

Kết luận​

Như vậy là hoàn thành hướng dẫn của chúng tôi về cách cài đặt máy chủ VPN OpenConnect trên máy chủ Ubuntu 22.04 và sử dụng máy khách dòng lệnh để kết nối với máy chủ đó. Nếu bạn có bất kỳ câu hỏi nào, hãy đăng chúng trong phần bình luận bên dưới.