由于ios的openvpn大陆地区无法安装,而员工又需要手机或PC登录VPN访问云上的资源,没办法,找了又找,终于,发现cisco的vpn还是能在苹果市场下载安装的,那就装个开源的Ocserv吧,别说还挺好,能分组控制路由的发布,非常不错
记录一下安装配置过程,使用Ubuntu 24.04的底版:
apt update
apt upgrade
apt-cache show ocserv
apt-get install -y ocserv
ocserv --version
安装步骤就如上,非常简单,跟openvpn一样,配置文件就一个 /etc/ocserv/ocserv.conf, 编辑一下:
# 认证方式为用户名密码认证
auth = "plain[passwd=/etc/ocserv/passwd]"
# 开放端口
tcp-port = 443
udp-port = 443
# 证书
server-cert = /etc/ocserv/_.rendoumi.com.crt
server-key = /etc/ocserv/_.rendoumi.com.key
# 最多用户数
max-clients = 1024
# 绑定域名
default-domain = m.rendoumi.com
# 分配的动态ip段
ipv4-network = 10.8.12.0
ipv4-netmask = 255.255.255.0
# 不路由
no-route = 10.0.0.0/255.0.0.0
no-route = 172.16.0.0/255.240.0.0
no-route = 192.168.0.0/255.255.0.0
# 发布路由
route = 10.8.2.15/32
route = 10.10.247.234/32
route = 10.10.240.37/32
说明:端口开在了443端口,证书用的是acme的免费证书,域名是m.rendoumi.com,ip段是10.8.12.0/24
然后首先私网路由全禁止,然后只放了3条/32的单独ip路由,这样就好了
最后转发设置一下,这台服务器的内网地址是 10.10.240.249
# 设置转发
cat /etc/sysctl.conf
net.ipv4.ip_forward = 1
# 设置iptalbes
iptables -t nat -A POSTROUTING -s 10.8.12.0/24 -j SNAT --to-source 10.10.240.249
# 生成用户认证文件
ocpasswd -c /etc/ocserv/passwd zhangrr
然后去IOS下载Cisco secure client,直接建立m.rendoumi.com的连接,输入用户名和密码,就可以连接了。