今天搭建免费开源的远程访问方案AnyLink,无论是远程接入公有云做运维,还是访问办公室,都能实现,支持域名分流,支持IP分流。
俗话说,免费的 60 分方案,比收费的 100 分方案更让人安心——不限制带宽,不限制终端数量,不必再看厂商脸色,也不用为一丁点需求被迫买整套方案。
本次实测使用 AnyLink SSL VPN 搭建远程办公环境:
1、访问公司内部各类系统。
2、基于员工账号做精细化的权限划分,不同部门只访问各自需要的业务系统。
网络环境
1、准备一台Ubuntu 24具备公网IP地址(也可以映射对应端口到内部的Docker或者VM上,都没有问题)
2、根据自己的需求,规划远程客户端的IP地址段(198.19.0.0/24)
3、统计部员工规划访问办公内部FTP(172.21.0.0/20)
4、行政部员工规划访问公网服务:ip111.cn。
安装Anylink
1、下载安装包并解压,这个目录是默认的目录:
# 下载软件包
wget -P /opt https
://github.com/bjdgyc/anylink/releases/download/v0.13.1/anylink-0.13.1-linux-amd64.tar.gz
# 解压软件包
tar -zxvf /opt/anylink-0.13.1-linux-amd64.tar.gz -C /usr/local/
2、把解压出来的 anylink.service安装到系统的服务目录system下:
sudo cp /usr/local/anylink-deploy/deploy/anylink.service /etc/systemd/system/
3、增加anylink.service的执行权限:
chmod +x /etc/systemd/system/anylink.service
4、启动anylink服务:
sudo systemctl enable anylink
sudo systemctl start anylink
5、登录anylink控制台(默认账号admin,密码123456)
anylink基础配置
1、生成管理员的账号的密码(web界面没有修改的地方),生成完成之后需要在/usr/local/anylink-deploy/conf/server.toml中进行替换admin密码:
/usr/local/anylink-deploy/anylink tool -p luozi@123
2、生成一个JWT密钥(用于替换配置文件中的默认官方密钥)生成完成之后需要在/usr/local/anylink-deploy/conf/ server.toml中进行替换jwt密钥:
/usr/local/anylink-deploy/anylink tool -s
3、为了降低部署难度,本次不设置域名,使用IP地址方式登录,为了保证安全,需要重新生成私钥和证书:
openssl req -x509 -nodes -days 3650
-newkey rsa:2048
-keyout /usr/local/anylink-deploy/conf/vpn_cert.key
-out /usr/local/anylink-deploy/conf/vpn_cert.pem
-subj "/C=CN/ST=Beijing/L=Beijing/O=MyVPN/CN=152.136.200.166"
4、完整配置参考:
root@VM-0-16-ubuntu:/usr/local/anylink-deploy/conf# cat /usr/local/anylink-deploy/conf/server.toml
#示例配置信息
#其他配置文件,可以使用绝对路径
#或者相对于 anylink 二进制文件的路径
#数据文件
db_type = "sqlite3"
db_source = "./conf/anylink.db"
#证书文件
cert_file = "./conf/vpn_cert.pem"
cert_key = "./conf/vpn_cert.key"
files_path = "./conf/files"
#日志目录,默认为空写入标准输出
#log_path = "./log"
log_level = "debug"
#系统名称
issuer = "骡子网络实测 SSL VPN"
#后台管理用户
admin_user = "admin"
#pass 123456
admin_pass = "$2a$10$thcoQemUkrfKjojyLhYFjur/4oBQLWhQPkedK.UmrWubKiz1M.."
# 留空表示不开启 otp, 开启otp后密码为 pass + 6位otp
# 生成 ./anylink tool -o
admin_otp = ""
jwt_secret = "PPXTbhxKxAZ0jsgisCEmoqZIQ_wPwUcgDxFZsE9-H225BuJp6rvE7xMeFAv4"
#TCP服务监听地址(任意端口)
server_addr = ":11443"
#开启 DTLS
server_dtls = false
#UDP监听地址(任意端口)
server_dtls_addr = ":11443"
#后台服务监听地址
admin_addr = ":8800"
#最大客户端数量
max_client = 200
#单个用户同时在线数量
max_user_client = 3
#虚拟网络类型[tun macvtap]
link_mode = "tun"
#客户端分配的ip地址池
#这个是本地物理网口的名称eth0,其他情况根据实际网卡信息填写
ipv4_master = "eth0"
ipv4_cidr = "198.19.0.0/24"
ipv4_gateway = "198.19.0.1"
ipv4_start = "198.19.0.10"
ipv4_end = "198.19.0.200"
#是否自动添加nat
iptables_nat = true
#客户端显示详细错误信息(线上环境慎开启)
display_error = true
root@VM-0-16-ubuntu:/usr/local/anylink-deploy/conf#
5、重新启动anylink服务:
sudo systemctl restart anylink
配置anylink控制台
统计部(基于IP分流,使用openconnect客户端)
1、创建统计部门用户组:
2、创建统计部员工账号,并绑定到组里边:
3、使用openconnect客户端进行连接:
4、测试公司内网业务的 FTP 服务,连接成功,可正常上传下载文件:
行政部(基于域名分流的行政部,使用Cisco Secure Client)
1、创建用户组(行政部-域名分流)
2、创建行政部员工账号,并绑定组:
3、使用Cisco Secure Client进行连接:
4、测试公司外部的公网服务IP111.CN,连接成功,网站IP显示正确:
测试效果
从搭建到使用,AnyLink 的上手比较简单,员工通过客户端即可访问,不必记复杂配置,适合中小企业自建远程访问环境。
功能比较多,并且支持 SSL/TLS 加密,管理员可控制访问权限。
本次测试仅是演示远程办公接入方案,如果需要更多功能可以看一下官方的文档介绍。
对预算有限的企业来说,免费方案能快速验证需求。
如果要承载长期办公或跨地区访问,需要SSL结合稳定传输线路或优化方案,会更稳妥。
微信扫一扫,打赏作者吧~本文链接:https://www.jingber.cn/post/3811.html 转载需授权!
