Ubuntu上安装ocserv

root@p:~# wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.10.7.tar.xz

root@p:~# tar -xf ocserv-0.10.7.tar.xz 
root@p:~# cd ocserv-0.10.7
# 安装依赖，依赖的包可root@p:~/ocserv-0.10.7# cat README 
查看
root@p:~# apt-get update
root@p:~/ocserv-0.10.7# apt-get install build-essential pkg-config libgnutls28-dev libwrap0-dev libpam0g-dev libseccomp-dev libreadline-dev libnl-route-3-dev
# 编译
root@p:~/ocserv-0.10.7# ./configure 
root@p:~/ocserv-0.10.7# make
root@p:~/ocserv-0.10.7# make install

root@p:~/ocserv-0.10.7# mkdir /etc/ocserv && cd /etc/ocserv
# 安装certtool命令用于后序生成密钥证书
root@p:/etc/ocserv# apt-get install gnutls-bin
# 创建CA
## 创建ca模板
root@p:/etc/ocserv# vi ca.tmpl
## 填入以下内容
cn = "Your CA name" 
organization = "Your fancy name" 
serial = 1 
expiration_days = 3650
ca 
signing_key 
cert_signing_key 
crl_signing_key 
## 生成CA密钥
root@p:/etc/ocserv# certtool --generate-privkey --outfile ca-key.pem
## 生成CA证书
root@p:/etc/ocserv# certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem
## ls后可看到生成的两个文件和模板
root@ubuntu:/etc/ocserv# ls
ca-cert.pem  ca-key.pem  ca.tmpl
# 同理创建server
root@p:/etc/ocserv# vi server.tmpl
## 填入 这里的cn项必须对应你最终提供服务的hostname或IP，否则AnyConnect客户端将无法正确导入证书
cn = "Your hostname or IP" 
organization = "Your fancy name" 
expiration_days = 3650
signing_key 
encryption_key
tls_www_server
## 生成密钥，证书
root@p:/etc/ocserv# certtool --generate-privkey --outfile server-key.pem
root@p:/etc/ocserv# certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem
# 如果需要改成证书认证，还要继续创建user，本文先以账户认证，如有机会，补上证书认证

# 移动配置文件模板到/etc/ocserv/    sample.config源目录根据你的文件位置调整目录
root@p:/etc/ocserv# cp ~/ocserv-0.10.7/doc/sample.config ocserv.conf
# 修改配置文件
root@p:/etc/ocserv# vi ocserv.conf
## 设置密码认证
把auth = "plain[passwd=./sample.passwd]"修改为auth = "plain[/etc/ocserv/ocpasswd]"
同时禁用其他 auth = ""的项，在前面加个#号即禁用，最后即为
#auth = "pam"
#auth = "pam[gid-min=1000]"
auth = "plain[/etc/ocserv/ocpasswd]"
#auth = "certificate"
#auth = "radius[config=/etc/radiusclient/radiusclient.conf,groupconfig=true]"
## 设置监听端口修改此部分为你喜欢的端口号
tcp-port = 443
udp-port = 443
## 设置证书密钥地址，修改下列两项为之前创建的证书目录
server-cert = ../tests/server-cert.pem
server-key = ../tests/server-key.pem
ca-cert = ../tests/ca.pem
### 修改后为
server-cert = /etc/ocserv/server-cert.pem
server-key = /etc/ocserv/server-key.pem
ca-cert = /etc/ocserv/ca.pem
## 其他修改
### 允许同时连接的客户端数量
max-clients = 4
### 限制同一客户端的并行登陆数量
max-same-clients = 2
### 服务监听的IP（服务器IP，可不设置）
listen-host = 1.2.3.4
### 自动优化VPN的网络性能
try-mtu-discovery = true
### 客户端连上vpn后使用的dns
dns = 8.8.8.8
dns = 8.8.4.4
### 注释掉所有的route，让服务器成为gateway
#route = 192.168.1.0/255.255.255.0
### 启用cisco客户端兼容性支持
cisco-client-compat = true
# 保存退出

root@p:/etc/ocserv# ocpasswd -c /etc/ocserv/ocpasswd your_name
Enter password: 
Re-enter password: 

#把其中的443改成你之前设置的端口
oot@ubuntu:/etc/ocserv# iptables -t filter -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
root@ubuntu:/etc/ocserv# iptables -t filter -A INPUT -p udp -m udp --dport 443 -j ACCEPT
root@ubuntu:/etc/ocserv# iptables -t nat -A POSTROUTING  -j MASQUERADE
#修改/etc/sysctl.conf，启用 net.ipv4.ip_forward=1
root@ubuntu:/etc/ocserv# vi /etc/sysctl.conf
#生效
root@ubuntu:/etc/ocserv# sysctl -p /etc/sysctl.conf

ocserv -f -d 1

lsof -i:端口号
kill -9 PID(进程号)
#例
root@VM-10-194-ubuntu:/etc/ocserv# lsof -i:443
COMMAND     PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
ocserv-ma 16409 root    4u  IPv4  31213      0t0  TCP *:https (LISTEN)
ocserv-ma 16409 root    5u  IPv4  31216      0t0  UDP *:https 
root@VM-10-194-ubuntu:/etc/ocserv# kill -9 16409