返回列表 發帖

Phicomm N1 Native openconnect server

本帖最後由 yiucsw 於 2020-1-9 17:20 編輯

N1 比較安靜.


UFW :
http://www.cosmozhang.com/2018/0 ... serveronubuntu.html
https://www.linuxbabe.com/ubuntu ... -17-10-lets-encrypt

重做 certification, 不知道原因,以前 certification 加到Ocserv, Ocserv 啟動不了。
以下連接是沒有問題。
https://ocserv.gitlab.io/www/manual.html

download certification 到 /etc/ocserv
login: certification or system userid
ocserv.conf
auth = "pam[gid-min=1000]"
enable-auth = "certificate"
server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem
ca-cert = /etc/ocserv/ca-cert.pem

ca.tmpl
cn = "yourserver.dynu.net"
organization = "HP"
serial = 1
expiration_days = -1
ca
signing_key
cert_signing_key
crl_signing_key

server.tmpl
cn = "yourserver.dynu.net"
organization = "HP"
dns_name="yourserver.dynu.net"
expiration_days = -1
signing_key
encryption_key
tls_www_server


user.tmpl
cn = "user"
unit = "admins"
expiration_days = 3650
signing_key
tls_www_client

本帖最後由 yiucsw 於 2020-1-6 12:42 編輯

在USB 安裝 firewall, enable port 22 for ssh, 443 for ocserv.
  1. sudo apt install ufw
  2. sudo ufw allow 22/tcp
  3. sudo ufw allow 443/tcp
  4. sudo ufw allow 443/udp
  5. nano /etc/default/ufw
複製代碼
DEFAULT_FORWARD_POLICY="ACCEPT"
  1. nano /etc/ufw/sysctl.conf
複製代碼
# Uncomment this to allow this host to route packets between interfaces
net/ipv4/ip_forward=1
net/ipv6/conf/default/forwarding=1
net/ipv6/conf/all/forwarding=1

Enable NAT, append after last commit statement
  1. nano /etc/ufw/before.rules
複製代碼
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 0.0.0.0/0 -o eth0 -j MASQUERADE
COMMIT


Enable ufw and check status
  1. sudo ufw enable
  2. sudo systemctl restart ufw
  3. ufw status
複製代碼
To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere                  
443/tcp                    ALLOW       Anywhere                  
443/udp                    ALLOW       Anywhere
  1. iptables -t nat -L
複製代碼
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere   
  1. ip a
複製代碼
ethernet 的 port 應該是 eth0

TOP

本帖最後由 yiucsw 於 2020-1-6 12:59 編輯

Install ocserv, 將 certifcation copy 到 USB
  1. sudo apt install ocserv
  2. systemctl status ocserv
複製代碼
output 有 2 task, listen to 443, 那 ocserv 便成功啟動。
  CGroup: /system.slice/ocserv.service
           ├─2191 ocserv-main
           └─2194 ocserv-sm

要是不啟動,那config file 有 問題。
  1. sudo systemctl start ocserv
複製代碼
Upload certification to /etc/ocserv
server-cert.pem
server-key.pem
ca.pem

TOP

Prepare N1 環境:
copy usb to N1 flash
  1. /root/install.sh
複製代碼
or
  1. nand-sata-install
複製代碼

TOP

本帖最後由 yiucsw 於 2020-1-6 14:16 編輯

After copy to N1 Flash.
  1. shutdown 0
複製代碼
remove USB, replug power.
ssh N1

改 Static ip, 啟動會快多。
  1. nano /etc/network/interfaces
複製代碼

example
iface eth0 inet static
address 192.168.3.100  
netmask 255.255.255.0
gateway 192.168.3.1
dns-nameservers 9.9.9.9 1.1.1.1


手機同N1 在同一網路。
測試 1:
打開 Cisco Anyconnect.

按連接 -> Add new VPN connect -> Add 服務器地址.
  - N1 地址。e.g. 192.168.x.x

連接

證書不可信
enter userid = root
enter password = root's system 密碼
已連接。

open browser
can access website.

測試 2:
1st level router port 443 TCP/UDP forward to N1 ip address
turn off wifi. 用手機data流量。
打開 Cisco Anyconnect.
按連接 -> Add new VPN connect -> Add 1st level router 服務器地址.
連接

open browser
can access website.
whatismyip 顯示 手機ip address

現在有一個標準ocserv 環境。
要改 ocserv.conf
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

本帖最後由 yiucsw 於 2020-1-6 14:34 編輯

Backup conf
  1. cp /etc/ocserv/ocserv.conf /etc/ocserv/ocserv.template
  2. nano /etc/ocserv/ocserv.conf
複製代碼
Change the following
dns = 9.9.9.9
dns = 1.1.1.1
try-mtu-discovery = true


comment all route
#route = 10.0.0.0/8
#route = 172.16.0.0/12
#route = 192.168.0.0/16
  1. systemctl restart ocserv
複製代碼
開手機上openconnect
whatismyipaddress 變成 N1 那邊的 IP。

TOP

返回列表