Benidiktus Blog
I Share About IT Stuff
Benidiktus Blog

Membuat VPN Server dengan Openconnect

Openconnect atau Cisco Anyconnect merupakan salah satu platform VPN yang cukup mudah dikonfigurasi. Sebelum mulai perlu disiapkan beberapa hal berikut

  1. Domain name. Penggunaan Domain name tidak wajib tetapi untuk menghindari kesalahan SSL check sebaiknya menggunakan domain
  2. Server VPS non OpenVZ dengan OS Ubuntu

Installasi SSL Ceritificate

Sebelum mulai mengkonfigurasi openconnect terlebih dahulu kita akan menginstall SSL certificate. Pastikan domain yang akan digunakan sudah dipointing ke IP Server VPS. Berikut langkah untuk installasi SSL Certificate menggunakan Let’s Encrypt

  1. ketik apt install certbot
  2. Setelah cerbot terinstall lakukan request certificate dengan perintah berikut
    certbot certonly –standalone –preferred-challenges http –agree-tos –email admin@domain.com -d domain.com
  3. Jika berhasil akan tergenerate file certificate di folder /etc/letsencrypt/live/domain.com/
  4. Silahkan ganti domain.com dengan nama domain yang akan digunakan

Konfigurasi Openconnect

Pada tutorial ini kita akan menggunakan UFW sebagai firewall

  1. Ketik apt install ocserv
  2. Ketik UFW allow 22,80,443/TCP perintah ini akan mengijinkan incoming access ke port 22 (SSH), 80 (web Server) dan 443 (Ocserv)
  3. Setelah kita tulis script port yang di allow kita aktifkan firewall dengan perintah UFW Enable
  4. edit ocserv.conf dengan perintah nano /etc/ocserv/ocserv.conf
  5. Ganti baris berikut
  • tambahkan # pada auth= “pam[gid-min=1000]”
  • Tambahkan baris berikut auth = “plain[passwd=/etc/ocserv/ocpasswd]”
  • Tambahkan # pada udp-port = 443 pada tutorial ini kita hanya akan menggunakan port 443 TCP
  • Ruba lokasi certificate sesuai lokasi dari letsencrypt. ganti domain.com dengan domain yang akan kamu gunakan
    server-cert = /etc/letsencrypt/live/domain.com/fullchain.pem
    server-key = /etc/letsencrypt/live/domain.com/privkey.pem
  • set maksimal koneksi, defaultnya adlaah128 kamu bisa ganti ke 0 untuk menjadikan unlimited. sementara concurrent koneksi atau koneksi per user id atau device bisa set ke 0 untuk unlimited
    rubah max-clients = 128 ke max-clients = 0
    rubah max-same-clients = 2 ke max-same-clients = 0
  • Rubah try-mtu-discovery = false menjadi try-mtu-discovery = true
  • Tambahkan # pada idle-timeout=1200 dan mobile-idle-timeout=1800 agar tidak ada timeout koneksi
  • set default-domain = domain.com. sesuaikan dengan domain yang akan digunakan
  • Rubah ipv4-network = 10.10.10.0 ini akan membuat private ip client ke 10.10.10.0/24 kamu bisa merubah ke range IP lainnya. sebaiknya jangan dibuat sama dengan Private IP jaringan lokal yang biasanya 192.168.1.0/24
  • Hilangkan tanda # pada tunnel-all-dns = true ini akan membuat DNS yang digunakan adalah DNS yang disetting pada openconnect
  • set dns = 8.8.8.8 atau dns = 1.1.1.1 untuk pakai google dan cloudflare DNS silahkan ganti sesuai kebutuhan
  • tambahkan tanda # pada baris berikut
    route = 10.0.0.0/8
    route = 172.16.0.0/12
    route = 192.168.0.0/16

no-route = 192.168.5.0/255.255.255.0

  • Rubah baris TLS ke tls-priorities = “NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128:-VERS-TLS1.0:-VERS-TLS1.1” untuk menghindari penggunaan TLS 1.0 dan TLS 1.1 karena 2 versi TLS tersebut sudah tidak direkomendasikan.
  • Ketik systemctl restart ocserv untuk reload konfigurasi yang sudah kita buat

Membuat userid VPN

ketik ocpasswd -c /etc/ocserv/ocpasswd username. username disini diganti dengan nama user yang akan dibuat lalu ketik passwordnya

Konfigurasi Firewall
Setelah konfigurasi OCSERV. langkah selanjutnya adalah konfigurasi dari sisi firewall dengan mengantifkan port forwarding dan routing aksesnya

  1. ketik nano /etc/sysctl.conf hapus tanda # pada baris net.ipv4.ip_forward = 1. jika tidak ada bisa langsung ditambahkan
  2. ketik sysctl -p untuk mengaktifkan perubahannya
  3. Selanjutnya kita perlu mengetahu kode network interface. Gunakan perintah ip addr. Biasanya namanya eth0 atau Ens0 tergantung konfigurasi dari provider. Pada tutorial ini contohnya menggunakan eth0 silahkan ganti nama interfacenya sesuai server kamu.
  4. ketik nano /etc/ufw/before.rules lalu tambahkan baris berikut di atas baris *filter

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

  1. cari baris ufw-before-forward chain lalu tambahkan baris berikut

-A ufw-before-forward -s 10.10.10.0/24 -j ACCEPT
-A ufw-before-forward -d 10.10.10.0/24 -j ACCEPT

silahkan ganti private IP sesuai yang digunakan pada Ocserv jika kamu menggunakan range private ip lain

  1. Ketik systemctl restart ufw untuk memuat ulang perubahannya

Cara konek ke Openconnect

Windows dan Mac

Silahkan download aplikasi Openconnect GUI dari link berikut Welcome to OpenConnect graphical client pages. | OpenConnect GUI

Selain menggunakan Openconnect GUI kamu bisa juga menggunakan aplikasi Cisco Anyconnect. Bisa diinstall dari microsoft store dan Apps Store.

Android dan iOS

Menggunakan aplikasi Cisco Any Connect di playstore dan Apps Store.

Cara koneksinya cukup membuat profile baru. isikan nama domain yang kamu sudah setting kemudian klik konek. Selanjutnya masukan username dan password yang sudah dibuat

Leave a Reply

Your email address will not be published. Required fields are marked *