NAP6官方旗舰店
搜索
发新帖
午饭无线 推广广告R7800 完胜 华硕路由器NETGEAR Vs ASUS T-Mobile定制版NETGEAR团购
开启左侧

OpenWrt路由器搭建ocserv实现VPN客户端智能代理,智能分流

[复制链接]
172 1

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
OpenWrt路由器配置了shadowsocks客户端及智能代理之后,路由器内网侧的用户端,比如未root的Android、未越狱的iOS等设备,无需任何设置就能智能分流翻WALL。

至于在外网侧,因之前曾在 VPS上基于Debian配置ocserv证书认证(兼容Cisco AnyConnect),所以未越狱的iOS设备上安装 Cisco官方的 AnyConnect iOS客户端(Android设备可安装 客户端OpenConnect)之后也能实现智能分流翻WALL,但最多只能接受服务端推送的200条路由。

于是决定在路由器上安装 ocserv(兼容 Cisco AnyConnect)作为 VPN Server,未越狱的 iOS设备等在外面通过移动互联网作为 VPN Client登录进来后,就可以像路由器内网侧用户端那样实现智能分流翻WALL,而且因为无需服务端推送路由所以登录的速度也比较快。
remote-smart-proxy-over-ocserv.jpg

VPN服务端的设置

步骤一:
手上的 Netgear WNDR4300 这款无线路由器已刷 Gargoyle石像鬼固件(OpenWrt 的web前端之一),通过 Putty 登录路由器后执行安装
  1. opkg update
  2. opkg install ocserv
  3. #opkg install luci-app-ocserv   #Gargoyle固件不能安装luci程序
  4. /etc/init.d/ocserv enable       #设置随路由器开机自启动
  5. /etc/init.d/ocserv start        #启动ocserv
复制代码
注:只有配置了 LuCI 这个web前端的 OpenWrt 才可以安装luci程序,且只适用于ocserv的用户名/密码方式,不支持证书方式。
如果只需要 ocserv的用户名/密码方式登录,可以参考下图在luci界面里进行设置,然后直接到步骤四
luci-app-ocserv_settings.jpg

不过还是建议采用证书方式,客户端访问 VPN服务器更安全、也更便捷。


步骤二:
如上启动 ocserv之后,在路由器上会自动生成如下七个文件
游客,如果您要查看本帖隐藏内容请回复

尚缺少用户证书,先新建一个用户模板文件 /etc/ocserv/pki/client.tmpl
cn = client
unit = "users"
expiration_days = 3650     #证书有效期十年,可自定义
signing_key
tls_www_client

然后执行如下命令生成用户证书
  1. cd /etc/ocserv
  2. ln -s pki/ca.tmpl ca.tmpl             #制作软链接文件
  3. ln -s pki/server.tmpl server.tmpl
  4. ln -s ca.pem ca-cert.pem
  5. cp pki/client.tmpl client.tmpl
  6. cp ocserv.conf.template ocserv.conf

  7. certtool --generate-privkey --outfile user-key.pem

  8. certtool --generate-certificate --load-privkey user-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template client.tmpl --outfile user-cert.pem
复制代码
客户端证书 user-cert.pem 还不能直接使用(除了 ocserv官网 推荐的Windows客户端 openconnect-gui 之外),需通过 OpenSSL转换成 .p12格式
  1. openssl pkcs12 -export -inkey user-key.pem -in user-cert.pem -name "client" -certfile ca-cert.pem -caname "VPN CA" -out user-cert.p12
  2. #按提示设置证书使用密码,或直接回车不设密码
复制代码

步骤三:
修改配置文件 /etc/ocserv/ocserv.conf
  1. listen-host-is-dyndns = true     #针对路由器使用动态域名的情形
  2. auth = "certificate"
  3. max-clients = 16
  4. max-same-clients = 10
  5. tcp-port = 443     #默认的监听端口号
  6. udp-port = 443
  7. keepalive = 32400
  8. dpd = 240
  9. mobile-dpd = 1800
  10. try-mtu-discovery = true
  11. server-cert = /etc/ocserv/server-cert.pem
  12. server-key = /etc/ocserv/server-key.pem
  13. ca-cert = /etc/ocserv/ca-cert.pem
  14. tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT"
  15. auth-timeout = 40
  16. mobile-idle-timeout
  17. cookie-timeout = 86400000
  18. rekey-time = 86400000
  19. rekey-method = ssl
  20. use-utmp = true
  21. use-occtl = true
  22. pid-file = /var/run/ocserv.pid
  23. socket-file = /var/run/ocserv-socket
  24. run-as-user = ocserv     #用户:用户组需和实际的一致
  25. run-as-group = ocserv
  26. net-priority = 5
  27. cgroup = "cpuset,cpu:test"
  28. device = vpns
  29. default-domain = www.example.com     #最好是路由器的动态域名
  30. ipv4-network = 10.10.0.0
  31. ipv4-netmask = 255.255.255.0
  32. dns = 10.10.0.1         #可使用路由器的LAN IP,但建议还是用ocserv网络的
  33. ping-leases = false
  34. output-buffer = 10
  35. #route = ip网段/子网掩码     #注释掉所有路由推送即可实现全局路由,即,客户端所有流量走VPN
  36. route-add-cmd = "ip route add %{R} dev %{D}"
  37. route-del-cmd = "ip route delete %{R} dev %{D}"
  38. cisco-client-compat =true
  39. custom-header = "X-DTLS-MTU: 1200"
  40. custom-header = "X-CSTP-MTU: 1200"
复制代码
注:跟VPS上用的配置文件不一致的地方已用红色字体标出,其他参数详见示例配置文件里的详细说明,或者见参考文章,这里不再赘述。

以及ocserv的启动脚本 /etc/init.d/ocserv
  1. ...
  2. start() {
  3. rm -f /var/etc/ocserv.conf
  4. ln -s /etc/ocserv/ocserv.conf /var/etc/ocserv.conf
  5.         service_start /usr/sbin/ocserv -c /var/etc/ocserv.conf
  6. }

  7. stop() {
  8.         service_stop /usr/sbin/ocserv
  9. # delay needed to avoid restart failure
  10. sleep 3
  11. }
  12.       
  13. reload() {
  14. rm -f /var/etc/ocserv.conf
  15. ln -s /etc/ocserv/ocserv.conf /var/etc/ocserv.conf
  16.         /usr/bin/occtl show status >/dev/null 2>&1
  17.         if test $? != 0;then
  18.                 start
  19.         else
  20.                 /usr/bin/occtl reload
  21.         fi
  22. }
复制代码
步骤四:
修改自定义防火墙文件 /etc/firewall.user,添加如下五行内容
  1. iptables -I INPUT -p tcp --dport 443 -j ACCEPT
  2. iptables -I INPUT -p udp --dport 443 -j ACCEPT

  3. iptables -t nat -I POSTROUTING -s 10.10.0.0/24 -o pppoe-wan -j MASQUERADE
  4. iptables -I FORWARD -i vpns+ -s 10.10.0.0/24 -j ACCEPT
  5. iptables -I INPUT -i vpns+ -s 10.10.0.0/24 -j ACCEPT
复制代码
重启ocserv和防火墙
  1. ip addr add 10.10.0.1/24 dev eth0.2     #手工添加ocserv网络的LAN IP,如绑定的WAN网卡不是 eth0.2请根据自己的实际情况修改
  2. /etc/init.d/ocserv restart
  3. /etc/init.d/firewall restart
复制代码
注:OpenWrt BB 14.07 官方源的ocserv 0.8.9其LAN IP地址不固定,只能手工添加否则DNS失效。当然,也可直接使用路由器的LAN IP如 “dns = 192.168.1.1”,不过考虑到有时VPN客户端会从某个同样为 192.168.1.0/24 的局域网发起连接,会造成网络冲突,因此还是建议把dns设置为ocserv网络的。另外,ocserv作者提到 0.9.2版本(有兴趣的可尝试 OpenWrt trunk)不再需要手工添加,ocserv会自动生成。

步骤五:
OpenWrt固件的web管理可能已启用 https协议,导致ocserv启动失败并提示443端口已被占用,这时要么修改ocserv的监听端口,要么关闭web管理的 https协议,即,修改 /etc/config/uhttpd文件,注释掉其中的两行内容(Gargoyle固件可在GUI界面关闭)
  1. #        list listen_https '0.0.0.0:443'
  2. #        list listen_https '[::]:443'
复制代码
注:完成后需执行 /etc/init.d/uhttpd restart 以使修改生效。


至此,ocserv服务端的设置就已完成。另外,还可以参考 之前的文章 中提及的脚本,以方便用户证书的制作。

最后,建议把路由器上的模板文件和(除了服务端证书之外的)所有证书文件备份到本地电脑硬盘,这样将来比如路由器重刷固件或者迁移到另一个路由器时,无需重新制作各个客户端证书并一一通知对方更新了。当然,到时路由器上的服务器证书还是需要重新制作一下。
  1. #在前述的步骤一之后上传备份的模板和ca证书覆盖,然后在步骤二之后执行如下命令重新制作服务器证书
  2. cd /etc/ocserv
  3. certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem

  4. /etc/init.d/ocserv restart
复制代码
VPN客户端的设置

以未越狱的 iOS设备为例,先导入 .p12证书文件(比如以邮件附件的形式接收,导入成功后可在 “设置 > 通用 > 描述文件” 里看到证书),然后运行 Cisco AnyConnect程序,添加VPN连接
iOS_AnyConnect_profile.jpg

注:若非默认的端口号443,则需在服务器地址栏里填入“动态域名:端口号”的格式。

回到主界面即可开始连接,若DNS无效可启用 FIPS Mode后再试
iOS_AnyConnect_settings.jpg


另外,还是同一个客户端软件,再添加一个VPN连接(服务器地址栏填入VPS的,并选择相应的证书),就可以直接登录VPS上的ocserv服务端了,只是服务端推送路由的数量有限制,但可以作为备用。



补充1:
VPN连接时,因为是免费的私有证书所以会提示 “不可信来源”,另外,还会提示 “证书与服务器名称不符”,可无视警告点继续。
iOS_AnyConnect_Server_Warning.jpg

不过有强迫症的话 :D,可以修改路由器上的服务器模板文件 /etc/ocserv/pki/server.tmpl的第一行
  1. cn=Gargoyle     #改成cn=路由器动态域名
  2. serial=2
  3. expiration_days=-1   #有效期至9999年,但有的平台如iOS7登录时可能识别为1970年(会提示证书过期了,但不影响使用),可自行修改
  4. signing_key
  5. encryption_key
复制代码
注:如需要,ca模板文件 /etc/ocserv/pki/ca.tmpl 里的有效期也可以修改一下。

然后重新制作ca证书(不是必须的)和服务器证书,并重启ocserv服务端。
  1. #certtool --template /etc/ocserv/pki/ca.tmpl --generate-self-signed --load-privkey /etc/ocserv/ca-key.pem  --outfile /etc/ocserv/ca.pem   #ca证书可以不重新制作,若重新制作了,则用户证书相应地也要重新制作一遍

  2. certtool --template /etc/ocserv/pki/server.tmpl --generate-certificate --load-privkey /etc/ocserv/server-key.pem --load-ca-certificate /etc/ocserv/ca.pem --load-ca-privkey /etc/ocserv/ca-key.pem --outfile /etc/ocserv/server-cert.pem

  3. /etc/init.d/ocserv restart
复制代码
只要VPN服务端配置文件ocserv.conf文件里的 default-domain、服务器证书里的 cn 以及VPN客户端设置里的 服务器地址,这三者一致,VPN连接时就不会提示 “证书与服务器名称不符”。

至于要消除 “不可信来源” 的提示,可以去申请比如首年免费的 starssl证书,这里 有人折腾过。



补充2:
前面设置过的ocserv随路由器开机自启动的功能有时可能会失效,可以在 /etc/rc.local文件中添加两行
  1. /etc/init.d/ocserv restart
  2. sleep 5
复制代码
还可以创建一个检查用脚本(以防ocserv进程意外被杀),如 /root/ocservup.sh,内容如下
  1. #!/bin/sh
  2. killall -0 ocserv 2> /dev/null
  3. if [ $? != 0 ]
  4. then
  5. logger \"$0: Starting ocserv ...\"
  6. /usr/sbin/ocserv -c /var/etc/ocserv.conf
  7. else
  8. logger \"$0: ocserv already running: $(pidof ocserv)\"
  9. fi
复制代码
注:创建后需执行 chmod +x /root/ocservup.sh,以添加可执行属性。

然后把该脚本添加到定时任务 /etc/crontabs/root
  1. 3 */2 * * * /root/ocservup.sh     #每两小时检查一次
复制代码
2016.09.16 更新
这两天把手上的 Linksys E2000路由器 升级到 Chaos Calmer 15.05.1固件,其中的 ocserv版本0.10.12-1,无需再手工添加 ocserv网络的LAN IP了,而且兼容全平台(Win、Mac OS、iOS和Android) Cisco Anyconnect 客户端的证书登录。

不过 CC固件里的 dnsmasq-full这个软件默认启用了localservice,按照 OpenWRT wiki页面 里的说法,意为只接受来自本地 subnet的dns查询请求,这就会导致 vpn客户端的dns失效。

但在 luci界面中没找到修改该参数的地方,于是只好编辑启动脚本 /etc/init.d/dnsmasq,注释掉或删掉对应的如下一行
  1. ...
  2.         append_bool "$cfg" proxydnssec "--proxy-dnssec"
  3.         # append_bool "$cfg" localservice "--local-service"
  4.         append_bool "$cfg" quietdhcp "--quiet-dhcp"
  5. ...
复制代码
最后重启一下 dnsmasq服务
  1. /etc/init.d/dnsmasq restart
复制代码
2016.10.24 更新
新版本的 ocserv配置文件有点不同,贴上我自己用的,供参考
  1. listen-host-is-dyndns = true
  2. auth = "certificate"
  3. max-clients = 16
  4. max-same-clients = 10
  5. tcp-port = 443
  6. udp-port = 443
  7. keepalive = 32400
  8. dpd = 240
  9. mobile-dpd = 1800
  10. try-mtu-discovery = true
  11. server-cert = /etc/ocserv/server-cert.pem
  12. server-key = /etc/ocserv/server-key.pem
  13. ca-cert = /etc/ocserv/ca-cert.pem
  14. cert-user-oid = 2.5.4.3
  15. #cert-group-oid = 2.5.4.11
  16. tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"
  17. auth-timeout = 40
  18. mobile-idle-timeout
  19. cookie-timeout = 86400000
  20. rekey-time = 86400000
  21. rekey-method = ssl
  22. connect-script = /etc/ocserv/connect-script
  23. disconnect-script = /etc/ocserv/connect-script
  24. use-utmp = true
  25. use-occtl = true
  26. pid-file = /var/run/ocserv.pid
  27. socket-file = /var/run/ocserv-socket
  28. run-as-user = ocserv
  29. run-as-group = ocserv
  30. net-priority = 5
  31. cgroup = "cpuset,cpu:test"
  32. device = vpns
  33. default-domain = www.example.com
  34. ipv4-network = 10.10.0.0
  35. ipv4-netmask = 255.255.255.0
  36. dns = 10.10.0.1
  37. ping-leases = false
  38. output-buffer = 10
  39. #route = ip网段/子网掩码
  40. route-add-cmd = "ip route add %{R} dev %{D}"
  41. route-del-cmd = "ip route delete %{R} dev %{D}"
  42. cisco-client-compat =true
  43. custom-header = "X-DTLS-MTU: 1200"
  44. custom-header = "X-CSTP-MTU: 1200"
复制代码
其中的脚本文件 /etc/ocserv/connect-script 可用于比如识别正在连接的用户信息(如下所示)等,或者只保留首尾两行即可。
  1. #!/bin/sh
  2. #echo $USERNAME : $REASON : $DEVICE
  3. case "$REASON" in
  4.   connect)
  5. echo $USERNAME "connected" >> /tmp/ocservinfo
  6. date >> /tmp/testocserv
  7. echo $REASON $USERNAME $DEVICE $IP_LOCAL $IP_REMOTE $IP_REAL >> /tmp/ocservinfo
  8.         ;;
  9.   disconnect)
  10. echo $USERNAME "disconnected" >> /tmp/ocservinfo
  11. date >> /tmp/ocservinfo
  12.         ;;
  13. esac
  14. exit 0
复制代码
最后还要添加该文件的可执行属性,重启ocserv
  1. chmod +x /etc/ocserv/connect-script
  2. /etc/init.d/ocserv restart
复制代码




精彩评论1

lostmind  班长  发表于 2016-12-1 12:19:57 | 显示全部楼层
looks great
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表