OpenConnect
OpenConnect - это SSL VPN, изначально созданный для поддержки AnyConnect SSL VPN от компании Cisco, реализующий безопасные соединения point-to-point.
Впоследствии он был портирован для поддержки множества других VPN-протоколов и, на текущий момент, актуальный список следующий:
Cisco AnyConnect
Juniper
Pulse Connect Secure
Pablo Alto Networks GlobalProtect
F5 BIG-IP
Fortinet Fortigate
Array Networks AG
Также заявлена разработка поддержки некоторых других протоколов VPN: SonicWall, Check Point, H3C, Barracuda, Huawei.
Проект OpenConnect также предлагает совместимый с Cisco AnyConnect сервер, ocserv
, и, таким образом, предоставляется возможность реализации полноценного клиент-серверного VPN-решения.
Установка
Пройдите в раздел
, найдите os-openconnect и установите. После установки, обновите страницу и вы найдёте клиент в разделе .Настройка
Настройка клиента очень проста. Просто включите параметр Включен и заполните поля Сервер VPN, Имя пользователя и Пароль. Убедитесь, что FQDN совпадает с именем в сертификате, иначе вы получите ошибку. Также могут возникнуть ошибки при использовании сертификатов с подстановочными знаками.
После включения, появится новый интерфейс для задания правил межсетевого экрана
.Полный список параметров клиента OpenConnect:
Включён |
Включает OpenConnect. |
Сервер VPN |
Полное доменное имя или IP-адрес VPN-сервера. |
Имя пользователя |
Имя пользователя для этого подключения. |
Пароль |
Пароль для этого соединения. Имейте в виду, что он будет храниться в текстовом виде на этом устройстве. |
Хэш Сертификата |
Если у вас есть подстановочный сертификат или CA не доверен, вам необходимо ввести SHA-хэш сертификата для принудительного подключения. |
Тип Хэша Сертификата |
Выберите тип хэша. Возможные значения: SHA256 или SHA1. |
Имя группы |
Для использования профилей для разделения групп, пожалуйста, установите здесь. |
Сертификат клиента |
Выберите сертификат клиента. |
Режим токена |
Использовать режим одноразовой генерации пароля. |
Секрет токена |
Введите секрет для использования при генерации одноразового пароля. |
Протокол |
Выберите протокол для использования. |
Устранение проблем
Для устранения проблем с подключением, лучше всего войти в систему через CLI и запустить OpenConnect вручную:
# /usr/local/etc/rc.d/opnsense-openconnect start
Обратите внимание на ошибки вида:
To trust this server in future, perhaps add this to your command line: --servercert sha256:9f97a3395d18093a14f0d8e768dabee231af34d9ba35432dfe838d58dd633333
В таком случае, в дело вступает поле Хэш Сертификата - в него надо вставить строку без размера хэша и установить её в поле Тип Хэша сертификата.