實測安裝配置成功，在此記錄過程

安裝背景：近期，需建立服務(wù)器訪問內(nèi)網(wǎng)，先做一個實際測試

• 配置環(huán)境：Debian 9
• 使用 Let’s Encrypt 生成免費證書
• 需要一個域名
• 需要一個公網(wǎng)IP
• 客戶端環(huán)境：Android / iOS / Ubuntu / Elementry / DeepinOS 均測試成功

二、配置服務(wù)器

• 這一環(huán)節(jié)是最關(guān)鍵的，也是本文核心
• 本人使用 VSCode 安裝 Remote - SSH ，其他方法大同小異，能連上服務(wù)器就ok

1、安裝服務(wù)端：
sudo apt update
sudo apt install ocserv
2、安裝 Let’s Encrypt Client 用于生成證書
sudo apt install certbot
3、生成證書
sudo certbot certonly --standalone --preferred-challenges http --agree-tos --email xxx@xxx.com -d abc.com

• 說明： xxx@xxx.com 改成你的郵箱；abc.com 改成你的域名
  因為這臺服務(wù)器運行這一個服務(wù)，故使用這種方法，如服務(wù)器上已經(jīng)部署Nginx等服務(wù)，參考ocserv教程安裝。
• 生成證書后，會輸出證書目錄，請記住或復(fù)制目錄，下面會用到

4、編輯服務(wù)端配置文件
sudo nano /etc/ocserv/ocserv.conf

auth = "pam[gid-min=1000]" auth = "plain[passwd=/etc/ocserv/ocpasswd]" # 默認即可 tcp-port = 443 # 按自己需求改 udp-port = 443 # 按自己需求改 server-cert = /etc/letsencrypt/live/abc.com/fullchain.pem #剛才的證書路徑 server-key = /etc/letsencrypt/live/abc.com/privkey.pem #剛才的證書路徑 max-clients = 20 #最大連接數(shù)，自定義。值為零代表不限制連接數(shù) max-same-clients = 1 # 同一賬號限制連接數(shù)量，按需求更改 try-mtu-discovery = false idle-timeout = 1200 mobile-idle-timeout = 1200 cookie-timeout = 43200 default-domain = abc.com #你自己的域名 ipv4-network = 10.10.10.0 #這個看你本地網(wǎng)絡(luò)是什么地址，不沖突就好 ipv4-netmask = 255.255.255.0 tunnel-all-dns = true dns = 8.8.8.8 dns = 8.8.4.4 # 把路由都注釋掉（前面加 # ） #route = 10.0.0.0/8 #route = 172.16.0.0/12 ... #no-route = 192.168.5.0/255.255.255.0

• 配置完畢保存 按 Ctrl+x 然后 enter 保存
• 然后 sudo systemctl restart ocserv 重啟服務(wù)端
• 創(chuàng)建賬戶： sudo ocpasswd -c /etc/ocserv/ocpasswd 你的用戶名 然后輸入自定義密碼，回車。

5、進一步完成配置服務(wù)器

sed -i '/net.ipv4.ip_forward.*/d;$a\net.ipv4.ip_forward = 1' /etc/sysctl.conf(開啟IPv4轉(zhuǎn)發(fā))
sudo sysctl -p
注：更改在重啟后生效，重啟后注意檢查各服務(wù)是否開啟

6、防火墻：

sudo apt install ufw 安裝防火墻
sudo ufw allow 22/tcp放行SSH
ip addr 查看網(wǎng)卡名

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE 注意eth0為你的網(wǎng)卡名
iptables -A FORWARD -s 10.10.10.0/24 -j ACCEPT 地址為你設(shè)置的地址
iptables -A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT 開放443端口
iptables -A INPUT -p udp -m state --state NEW --dport 443 -j ACCEPT 開放443端口
service iptables save
2002-08 更新： 先apt install iptables-persistent，再iptables-save > /etc/iptables/iptables.rules
sudo systemctl restart ufw #重啟防火墻
防火墻簡單設(shè)置

7、Tips：

• 安裝過程出現(xiàn)錯誤，嘗試安裝后運行apt-get -f install -y
• nano 配置文件后 保存 方法為 ctrl+x
• systemctl status ocserv可查看服務(wù)狀態(tài)
• iftop 可以監(jiān)控服務(wù)器流量，sudo apt-get install iftop 即可
• 在網(wǎng)絡(luò)環(huán)境特別復(fù)雜（多重NAT等）、DNS污染，也可能導(dǎo)致連接出現(xiàn)問題。關(guān)于路由、網(wǎng)絡(luò) 可以瀏覽我的 博客

下載客戶端 & 連接

• 證書是受信任的，所以不會提示證書不安全
• 下載地址：
  • iOS 搜索 AnyConnect

8、連接：輸入域名、username（用戶名）、password（密碼） 連接即可。

總結(jié)

以上是生活随笔為你收集整理的Debian 9 配置 OpenConnect（兼容Cisco AnyConnect)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。