×

开源免费vρν平台Anylink部署使用——具备图形化管理界面

hqy hqy 发表于2025-02-17 15:37:34 浏览274 评论0

抢沙发发表评论

开源免费vρν平台Anylink部署使用——具备图形化管理界面


AnyLink 基于 ietf-openconnect 协议开发,并且借鉴了 ocserv 的开发思路,使其可以同时兼容 AnyConnect 客户端。


AnyLink 使用 TLS/DTLS 进行数据加密,因此需要 RSA 或 ECC 证书,可以使用私有自签证书,可以通过 Let's Encrypt 和 TrustAsia 申请免费的 SSL 证书。
项目地址:



github地址:https://github.com/bjdgyc/anylinkgitee地址:https://gitee.com/bjdgyc/anylink


1. 测试环境说明


操作系统:CentOS 7.6最小化安装;
关闭防火墙和SELinux;
Windows使用的SSL vρν客户端建议使用AnyConnect;
AnyConnect是一款由思科(Cisco)开发的vρν(虚拟专用网络)客户端软件。它允许用户通过加密的隧道安全地连接到远程网络,如企业或组织的内部网络。AnyConnect支持多种协议和设备,包括Windows、macOS、iOS、Android等操作系统。
安装依赖包:


yum install iptables iproute -y


2. 安装和配置anylink

2.1 下载anylink


下载地址:


https://github.com/bjdgyc/anylink/releases




当前最新版本:v0.12.1
下载地址:


https://github.com/bjdgyc/anylink/releases/download/v0.12.1/anylink-0.12.1-linux-amd64.tar.gz
可以用本地电脑下载后上传到服务器上;


2.2 解压软件



tar -zxf anylink-0.12.1-linux-amd64.tar.gz -C /usr/local


2.3 生成管理员密码


该密码用于后台管理,需要把此密码写入到配置文件中:



cd /usr/local/anylink-deploy/./anylink tool -p Aa@123456


图片


注意密码不能有$ 符号,记录好密文:


$2a$10$SbmlC6LYL2lxAqZgxtBiEOnKAjt3E8MP5S9/lMSuIgoX8OzBacsMi


2.4 生成jwt密码



./anylink tool -s


图片


记录好密文:


EYG_uvTRQv3COit7lWlBbK3VPCgSZrYQfnWbj1FpLcfm6yJ0HbQ0cqXb


2.5 修改配置


修改配置文件,大部分内容保持不变,需要在模板文件改动的配置为标红部分:


vi server.toml
#主要修改以下几个参数





issuer = "host01"admin_pass = "$2a$10$SbmlC6LYL2lxAqZgxtBiEOnKAjt3E8MP5S9/lMSuIgoX8OzBacsMi"jwt_secret = "EYG_uvTRQv3COit7lWlBbK3VPCgSZrYQfnWbj1FpLcfm6yJ0HbQ0cqXb"ipv4_master = "ens32"  #根据网卡名称自定义


2.7 修改provile.xml文件



vi /usr/local/anylink-deploy/conf/profile.xml
#修改如下配置



<HostName>host01</HostName> # 第30行,最好与server.toml配置文件中的系统名称保持一致,用于客户端区分<HostAddress>192.168.211.101:443</HostAddress> # 第31行,客户端连接地址,域名加端口,或者IP加端口


图片

3. 生成自签证书


可以购买证书或者使用免费的证书,这里使用自签证书用于测试;


3.1 备份原来软件包自带的证书





cd /usr/local/anylink-deploy/confmkdir bakmv vpn_cert.* bak


3.2 创建配置文件,请修改为自己IP地址和域名



vi /usr/local/anylink-deploy/conf/openssl.cnf






















# ca根证书配置[ca]subjectKeyIdentifier=hashauthorityKeyIdentifier=keyid:always,issuerbasicConstraints = critical,CA:true
# HTTPS应用证书配置[crt]subjectKeyIdentifier = hashauthorityKeyIdentifier=keyid:always,issuerbasicConstraints = critical, CA:falsekeyUsage = critical, digitalSignature, cRLSign, keyEnciphermentextendedKeyUsage = critical, serverAuth, clientAuthsubjectAltName=@alt_names
# SANs可以将一个证书给多个域名或IP使用# 访问的域名或IP必须包含在此,否则无效# 修改为你要保护的域名或者IP地址,支持通配符[alt_names]IP.1 = 192.168.211.101    # 公网IP地址# DNS.1 = anylink.com   # 访问的域名,没有域名可以删掉


图片

3.3 生成根私钥




cd /usr/local/anylink-deploy/confopenssl genrsa -out root.key 4096


图片

3.4 生成根证书请求文件



openssl req -new -key root.key -out root.csr -subj "/C=CN/ST=Guangxi/L=Liuzhou/O=Public/OU=Public/CN=192.168.211.101"
参数说明:







C:所在国家 (Country),只能是两位字母缩写ST:所在省份(State)L:所在城市(Locality)O:所在组织(Organization)OU:所在部门(Organization Unit)CN:公用名,即域名(Common Name),如果不使用域名,就填IP地址


3.5 生成根证书



openssl x509 -req -extfile openssl.cnf -extensions ca -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650
参数说明:








-req: 证书请求-extfile:扩展文件配置和-extensions参数使用-extensions:扩展配置-in:证书请求文件-out:证书输出文件-signkey:签名的私钥-days:有效期


3.6 生成vρν的私钥



openssl genrsa -out vpn_cert.key 4096


3.7 生成vρν证书的请求文件



openssl req -new -key vpn_cert.key -out vpn_cert.csr -subj "/C=CN/ST=Guangxi/L=Liuzhou/O=Public/OU=Public/CN=192.168.211.101"


3.8 签发vρν证书



openssl x509 -req -extfile openssl.cnf -extensions crt -CA root.crt -CAkey root.key -CAserial vpn_cert.srl -CAcreateserial -in vpn_cert.csr -out vpn_cert.pem -days 3650


图片

3.9 删除多余的中间文件


删除后,应该剩下root.crt、root.key、vpn_cert.pem、vpn_cert.key这4个文件;
需要删除:


rm -rf root.csr vpn_cert.csr vpn_cert.srl vpn_cert.crt


图片

3.10 拷贝根证书到files文件夹下,供客户端下载



cp root.crt files/


4. 启动anylink


复制service文件到系统中:


cp /usr/local/anylink-deploy/deploy/anylink.service /usr/lib/systemd/system/
启动:



systemctl start anylinksystemctl enable anylink
查看状态:


systemctl status anylink


图片

5. 浏览器访问后台管理

5.1 访问方式


访问地址IP+端口(默认8800),输入账号(admin)和 密码(Aa@123456)点击登陆;


https://192.168.211.101:8800


图片


注意:没有给客户端导入证书前,访问时会提示该网站不可信:


5.2 创建用户组

图片


登录vρν后要访问的网段,客户端在拔入vρν后,会自动配置该路由:


图片


如果需求是要求全部转发,则保持默认即可:


图片


在路由配置方面,也可以单独为某个用户配置路由:


图片

5.3 增加用户


因为我这里没有配置邮件服务器,所以就不发送邮件给用户了,PIN码就是用户登录时的密码了:


图片

5.4 其他设置


设置一下vρν对外地址:


图片

6. 安装客户端


我使用的客户端电脑系统是win10,下载软件包:anyconnect-win-4.10.05111.msi
为了方便,我把该客户端上传到百度网盘,需要的话自行下载:


https://pan.baidu.com/s/1hqeSfimERGaMnLVsiMR8sQ?pwd=pany
其他操作系统的客户端请自行百度搜索。
(1)安装客户端anyconnect,双击下载的安装包,点击Next按钮


图片


(2)


图片


(3)


图片


(4)


图片

7. 客户端添加根证书

7.1 下载根证书


因为我把证书复制到files目录下了,这时可以所有客户端直接可以通过浏览器下载:


https://192.168.211.101:443/files/root.crt


7.2 双击证书安装


(1)打开证书安装


图片


(2)选择本地计算机


图片


(3)导入到受信任的根证书颁发机构


图片


(4)完成证书导入


图片


(5)重新打开浏览器验证


图片


导入证书后,不再提示不安全了;


8. 启动vρν客户测试


在客户端侧打开软件:


图片


输入前面创建的vρν帐号和密码,密码为创建帐号时的PIN码:


图片


点击"Accept"接受:


图片


连接成功:


图片


在管理平台上可以查看到登录用户的信息:


图片


至此,Anylink的部署已完成。




打赏

本文链接:https://www.kinber.cn/post/4870.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客