OpenConnect

OpenConnect - это SSL VPN, изначально созданный для поддержки AnyConnect SSL VPN от компании Cisco, реализующий безопасные соединения point-to-point.

Впоследствии он был портирован для поддержки множества других VPN-протоколов и, на текущий момент, актуальный список следующий:

  • Cisco AnyConnect

  • Juniper

  • Pulse Connect Secure

  • Pablo Alto Networks GlobalProtect

  • F5 BIG-IP

  • Fortinet Fortigate

  • Array Networks AG

Также заявлена разработка поддержки некоторых других протоколов VPN: SonicWall, Check Point, H3C, Barracuda, Huawei.

Проект OpenConnect также предлагает совместимый с Cisco AnyConnect сервер, ocserv, и, таким образом, предоставляется возможность реализации полноценного клиент-серверного VPN-решения.

Установка

Пройдите в раздел Система ‣ Прошивка ‣ Плагины, найдите os-openconnect и установите. После установки, обновите страницу и вы найдёте клиент в разделе VPN ‣ OpenConnect.

Настройка

Настройка клиента очень проста. Просто включите параметр Включен и заполните поля Сервер VPN, Имя пользователя и Пароль. Убедитесь, что FQDN совпадает с именем в сертификате, иначе вы получите ошибку. Также могут возникнуть ошибки при использовании сертификатов с подстановочными знаками.

После включения, появится новый интерфейс для задания правил межсетевого экрана Межсетевой экран ‣ Правила ‣ OpenConnect.

Полный список параметров клиента OpenConnect:

Включён

Включает OpenConnect.

Сервер VPN

Полное доменное имя или IP-адрес VPN-сервера.

Имя пользователя

Имя пользователя для этого подключения.

Пароль

Пароль для этого соединения. Имейте в виду, что он будет храниться в текстовом виде на этом устройстве.

Хэш Сертификата

Если у вас есть подстановочный сертификат или CA не доверен, вам необходимо ввести SHA-хэш сертификата для принудительного подключения.

Тип Хэша Сертификата

Выберите тип хэша. Возможные значения: SHA256 или SHA1.

Имя группы

Для использования профилей для разделения групп, пожалуйста, установите здесь.

Сертификат клиента

Выберите сертификат клиента.

Режим токена

Использовать режим одноразовой генерации пароля.

Секрет токена

Введите секрет для использования при генерации одноразового пароля.

Протокол

Выберите протокол для использования.

Устранение проблем

Для устранения проблем с подключением, лучше всего войти в систему через CLI и запустить OpenConnect вручную:

# /usr/local/etc/rc.d/opnsense-openconnect start

Обратите внимание на ошибки вида:

To trust this server in future, perhaps add this to your command line: --servercert sha256:9f97a3395d18093a14f0d8e768dabee231af34d9ba35432dfe838d58dd633333

В таком случае, в дело вступает поле Хэш Сертификата - в него надо вставить строку без размера хэша и установить её в поле Тип Хэша сертификата.