實測安裝配置成功，在此記錄過程

安裝背景：近期，需建立服務器訪問內網，先做一個實際測試

• 配置環境：Debian 9
• 使用 Let’s Encrypt 生成免費證書
• 需要一個域名
• 需要一個公網IP
• 客戶端環境：Android / iOS / Ubuntu / Elementry / DeepinOS 均測試成功

二、配置服務器

• 這一環節是最關鍵的，也是本文核心
• 本人使用 VSCode 安裝 Remote - SSH ，其他方法大同小異，能連上服務器就ok

1、安裝服務端：
sudo apt update
sudo apt install ocserv
2、安裝 Let’s Encrypt Client 用于生成證書
sudo apt install certbot
3、生成證書
sudo certbot certonly --standalone --preferred-challenges http --agree-tos --email xxx@xxx.com -d abc.com

• 說明： xxx@xxx.com 改成你的郵箱；abc.com 改成你的域名
  因為這臺服務器運行這一個服務，故使用這種方法，如服務器上已經部署Nginx等服務，參考ocserv教程安裝。
• 生成證書后，會輸出證書目錄，請記住或復制目錄，下面會用到

4、編輯服務端配置文件
sudo nano /etc/ocserv/ocserv.conf

auth = "pam[gid-min=1000]" auth = "plain[passwd=/etc/ocserv/ocpasswd]" # 默認即可 tcp-port = 443 # 按自己需求改 udp-port = 443 # 按自己需求改 server-cert = /etc/letsencrypt/live/abc.com/fullchain.pem #剛才的證書路徑 server-key = /etc/letsencrypt/live/abc.com/privkey.pem #剛才的證書路徑 max-clients = 20 #最大連接數，自定義。值為零代表不限制連接數 max-same-clients = 1 # 同一賬號限制連接數量，按需求更改 try-mtu-discovery = false idle-timeout = 1200 mobile-idle-timeout = 1200 cookie-timeout = 43200 default-domain = abc.com #你自己的域名 ipv4-network = 10.10.10.0 #這個看你本地網絡是什么地址，不沖突就好 ipv4-netmask = 255.255.255.0 tunnel-all-dns = true dns = 8.8.8.8 dns = 8.8.4.4 # 把路由都注釋掉（前面加 # ） #route = 10.0.0.0/8 #route = 172.16.0.0/12 ... #no-route = 192.168.5.0/255.255.255.0

• 配置完畢保存 按 Ctrl+x 然后 enter 保存
• 然后 sudo systemctl restart ocserv 重啟服務端
• 創建賬戶： sudo ocpasswd -c /etc/ocserv/ocpasswd 你的用戶名 然后輸入自定義密碼，回車。

5、進一步完成配置服務器

sed -i '/net.ipv4.ip_forward.*/d;$a\net.ipv4.ip_forward = 1' /etc/sysctl.conf(開啟IPv4轉發)
sudo sysctl -p
注：更改在重啟后生效，重啟后注意檢查各服務是否開啟

6、防火墻：

sudo apt install ufw 安裝防火墻
sudo ufw allow 22/tcp放行SSH
ip addr 查看網卡名

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth0 -j MASQUERADE 注意eth0為你的網卡名
iptables -A FORWARD -s 10.10.10.0/24 -j ACCEPT 地址為你設置的地址
iptables -A INPUT -p tcp -m state --state NEW --dport 443 -j ACCEPT 開放443端口
iptables -A INPUT -p udp -m state --state NEW --dport 443 -j ACCEPT 開放443端口
service iptables save
2002-08 更新： 先apt install iptables-persistent，再iptables-save > /etc/iptables/iptables.rules
sudo systemctl restart ufw #重啟防火墻
防火墻簡單設置

7、Tips：

• 安裝過程出現錯誤，嘗試安裝后運行apt-get -f install -y
• nano 配置文件后 保存 方法為 ctrl+x
• systemctl status ocserv可查看服務狀態
• iftop 可以監控服務器流量，sudo apt-get install iftop 即可
• 在網絡環境特別復雜（多重NAT等）、DNS污染，也可能導致連接出現問題。關于路由、網絡 可以瀏覽我的 博客

下載客戶端 & 連接

• 證書是受信任的，所以不會提示證書不安全
• 下載地址：
  • iOS 搜索 AnyConnect

8、連接：輸入域名、username（用戶名）、password（密碼） 連接即可。

總結

以上是生活随笔為你收集整理的Debian 9 配置 OpenConnect（兼容Cisco AnyConnect)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。