A_fox23 мар в 13:16

ocservice — bash инструмент для управления ocserv VPN сервером

Средний

4 мин

6.8K

Open source * Серверное администрирование * Linux * Сетевые технологии *

Туториал

Из песочницы

Комментарии 16

necro31 24 мар в 08:11

Можете ли добавить функционал автоматического развёртывания сервера с нуля, включая настройку домена, получение SSL-сертификата через Let's Encrypt и его автоматическое продление?

A_fox 24 мар в 08:17

Амбициозно) В теории то конечно можно. Но это уже полноценный инсталлятор VPN сервера с нуля, что далеко за рамками текущего проекта) Может быть когда-нибудь в будущем, но пока других планов хватает.

werter_l 24 мар в 10:27

https://github.com/PandaRyshan/ocserv

homaroma 26 мар в 18:04

Добрый день, поставил на Ubuntu ocserv, подключение пользователей по паролю, все норм работает(кроме камуфляжа, нет его в ocserv.conf, сам прописал все 3 строки - бессполезно не работает.), установил ocservice (возникла потребность в подключении пользователей по сертификатам) в ходе установки пришлось закоментировать в install.sh как раз таки все что касается камуфляжа, иначе не устанавливался. Выбрал режим both, создал пользователя с сертификатом все норм, скинул серты клиенту, подключаюсь и начинает спрашивать пароль. Открываю ocserv.conf а там как была аутентификация по паролю так и осталась.Вручную добавил + enable-auth = "certificate". Ничего не поменялось.

A_fox 26 мар в 18:10

Откуда вы устанавливали ocserv, из репозитория дистрибутива или собирали из исходников? Это важно, потому что пути к конфигу могут сильно отличаться, и скорее всего вы редактируете не тот файл который читает сервер.
Если все же читает тот что вы редактируете - после добавления enable-auth = "certificate" делали systemctl restart ocserv? Именно restart, не reload - изменения в блоке авторизации требуют полного перезапуска, reload здесь не поможет.
По камуфляжу - эта функция появилась в относительно свежих версиях ocserv. Если версия старая, директивы могут не поддерживаться. Проверьте версию ocserv --version

homaroma 26 мар в 18:49

git clone https://github.com/Ilyntiy/ocservice.gitcd ocservice chmod +xinstall.shsudo ./install.sh

вот так устанавливал

перезапуск делал из ocservice 6 позиция

A_fox 27 мар в 06:59

У вас очень старая версия ocserv. Актуальная на данный момент - 1.4.1 .
Поэтому у вас нет камуфляжа и всего остального. Настоятельно рекомендую обновиться!

homaroma 27 мар в 08:46

Да уже понял, переделаю, у меня вопрос, сейчас используем OpenVPN сервер, ввиду того что у нас клиенты имееют оборудование с возможностью подключения только по OpenVpn. Но ркн уже заблокировал ip один раз, пока переметнулись на другой, вот и прорабатываю переход на OpenCon, и собственно вопрос пройдет такой тип подключения? вроде читал по сертификатам как в OpenVpn он должен работать.

A_fox 27 мар в 08:56

Да, openconnect работает по тому же принципу с сертификатами что и openvpn. Главное преимущество перед openvpn в вашем случае - камуфляж. С ним ocserv выглядит как обычный HTTPS сайт, и заблокировать его по сигнатуре трафика значительно сложнее чем openvpn.

homaroma 27 мар в 13:02

Хмм пытаюсь установить с https://gitlab.com/openconnect/ocserv как написано в install файле:

git clone git@gitlab.com:openconnect/ocserv.git

cd ocserv

./configure; make; make install - выдает No such file or directory.

я понимаю что это не касается этой статьи, но если есть у вас вариант решения вопроса, был бы благодарен.

зы: попробовал еще autoreconf -fvi - тоже самое сообщение

ззы: Доустановил autoconf automake и еще кучу по одной статье выдает такое:

да этого configure.ac нет в директории

A_fox 27 мар в 13:05

Для сборки из исходников нужно сначала установить зависимости и сгенерировать файлы конфигурации. Попробуйте так:

sudo apt install git autoconf automake libtool pkg-config \
  libgnutls28-dev libev-dev libpam0g-dev liblz4-dev \
  libseccomp-dev libreadline-dev libnl-route-3-dev \
  libkrb5-dev libradcli-dev libprotobuf-c-dev \
  protobuf-c-compiler gperf libtalloc-dev

git clone git@gitlab.com:openconnect/ocserv.git
cd ocserv
autoreconf -fiv
./configure
make
sudo make install

Шаг autoreconf -fiv генерирует файл configure которого нет в репозитории — без него и возникает ошибка No such file or directory.

homaroma 27 мар в 13:27

Спасибо, сделаю.

homaroma 27 мар в 14:35

Не прошло, ошибся в адресе:

git clone https://gitlab.com/openconnect/ocserv.git - исправил, но ошибку выдает такую щас:

homaroma 27 мар в 17:09

Вот что на gitlabe отписали:

"Кроме того, система сборки была недавно изменена и теперь использует Meson вместо Autotools. Пожалуйста, попробуйте еще раз, используя последние исходные коды, и убедитесь, что вы различаете этапы сборки; "

походу поменялась система сборки.

homaroma 28 мар в 06:29

Дошел до этого этапа:

хотя cjose установил.

homaroma 2 апр в 08:35

Короче не удалось мне победить этот мезим с ниндзей, решил отсюда поставить:

https://www.infradead.org/ocserv/download/ocserv-1.4.1.tar.xz

все норм, НО! при сборке выдает ошибку на aes128-cipher и aes256-cipher,

установка пакетов sudo apt -y install libghc-cipher-aes-dev и других cipher aes выдает ошибку на их отсутствие. Дошел уже до установки haskel (haskell-cipher-aes128_0.7.0.6.orig.tar.gz) через cabal, там ругается на ошибки в файле setup.hs.

Универсал и мультиуниверсал подключил.

Подскажите что делаю не так?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий