AnyLink

AnyLink 是一個(gè)企業(yè)級(jí)遠(yuǎn)程辦公 sslvpn 的軟件，可以支持多人同時(shí)在線使用。

使用 AnyLink，你可以隨時(shí)隨地安全的訪問你的內(nèi)部網(wǎng)絡(luò)。

With AnyLink, you can securely access your internal network anytime and anywhere.

Repo

github: https://github.com/bjdgyc/anylink

gitee: https://gitee.com/bjdgyc/anylink

Introduction

AnyLink 基于 ietf-openconnect 協(xié)議開發(fā)，并且借鑒了 ocserv 的開發(fā)思路，使其可以同時(shí)兼容 AnyConnect 客戶端。

AnyLink 使用 TLS/DTLS 進(jìn)行數(shù)據(jù)加密，因此需要 RSA 或 ECC 證書，可以使用私有自簽證書，可以通過 Let's Encrypt 和 TrustAsia 申請(qǐng)免費(fèi)的 SSL 證書。

AnyLink 服務(wù)端僅在 CentOS 7、CentOS 8、Ubuntu 18、Ubuntu 20、Ubuntu 20、AnolisOS 8 測(cè)試通過，如需要安裝在其他系統(tǒng)，需要服務(wù)端支持 tun/tap 功能、ip 設(shè)置命令、iptables命令。

Screenshot

Installation

沒有編程基礎(chǔ)的同學(xué)建議直接下載 release 包，從下面的地址下載 anylink-deploy.tar.gz

https://github.com/bjdgyc/anylink/releases

https://gitee.com/bjdgyc/anylink/releases

如果不會(huì)安裝，可以提供有償遠(yuǎn)程協(xié)助服務(wù)(200 CNY)。添加QQ(68492170)聯(lián)系我

也可以添加QQ群 咨詢?nèi)簝?nèi)大佬

添加QQ群①: 567510628

使用問題

對(duì)于測(cè)試環(huán)境，可以直接進(jìn)行測(cè)試，需要客戶端取消勾選【阻止不受信任的服務(wù)器(Block connections to untrusted servers)】

對(duì)于線上環(huán)境，盡量申請(qǐng)安全的https證書(跟nginx使用的pem證書類型一致)

群共享文件有相關(guān)客戶端軟件下載，其他版本沒有測(cè)試過，不保證使用正常

其他問題 前往查看

默認(rèn)管理后臺(tái)訪問地址 https://host:8800 或 https://域名:8800 默認(rèn)賬號(hào)密碼 admin 123456

首次使用，請(qǐng)?jiān)跒g覽器訪問 https://域名:443 瀏覽器提示安全后，在客戶端輸入 【域名:443】 即可

自行編譯安裝

需要提前安裝好 docker

git clone https://github.com/bjdgyc/anylink.git
# docker編譯 參考軟件版本(不需要安裝)
# go 1.20.12
# node v16.20.2
# yarn 1.22.19
cd anylink
# 編譯前端
bash build_web.sh
# 編譯 anylink-deploy 發(fā)布文件
bash build.sh
# 注意使用root權(quán)限運(yùn)行
cd anylink-deploy
sudo ./anylink
# 默認(rèn)管理后臺(tái)訪問地址
# https://host:8800
# 默認(rèn)賬號(hào) 密碼
# admin 123456

Feature

•  IP 分配(實(shí)現(xiàn) IP、MAC 映射信息的持久化)

•  TLS-TCP 通道

•  DTLS-UDP 通道

•  兼容 AnyConnect

•  兼容 OpenConnect

•  基于 tun 設(shè)備的 nat 訪問模式

•  基于 tun 設(shè)備的橋接訪問模式

•  基于 macvtap 設(shè)備的橋接訪問模式

•  支持 proxy protocol v1&v2 協(xié)議

•  用戶組支持

•  用戶組策略支持

•  多用戶支持

•  用戶策略支持

•  TOTP 令牌支持

•  TOTP 令牌開關(guān)

•  流量速率限制

•  后臺(tái)管理界面

•  訪問權(quán)限管理

•  用戶活動(dòng)審計(jì)功能

•  IP 訪問審計(jì)功能(支持多端口、連續(xù)端口)

•  域名動(dòng)態(tài)拆分隧道（域名路由功能）

•  radius認(rèn)證支持

•  LDAP認(rèn)證支持

•  空閑鏈接超時(shí)自動(dòng)斷開

•  流量壓縮功能

•  出口 IP 自動(dòng)放行

•  支持多服務(wù)的配置區(qū)分

•  支持私有自簽證書

•  支持內(nèi)網(wǎng)域名解析(指定的域名走內(nèi)網(wǎng)dns)

•  增加用戶驗(yàn)證防爆功能(IP BAN)

•  支持 docker 非特權(quán)模式

•  基于 ipvtap 設(shè)備的橋接訪問模式

Config

示例配置文件內(nèi)有詳細(xì)的注釋，根據(jù)注釋填寫配置即可。

# 查看幫助信息
./anylink -h
# 生成后臺(tái)密碼
./anylink tool -p 123456
# 生成jwt密鑰
./anylink tool -s
# 查看所有配置項(xiàng)
./anylink tool -d

數(shù)據(jù)庫(kù)配置示例

數(shù)據(jù)庫(kù)表結(jié)構(gòu)自動(dòng)生成，無需手動(dòng)導(dǎo)入(請(qǐng)賦予 DDL 權(quán)限)

db_type

示例配置文件

conf/server-sample.toml

Upgrade

升級(jí)前請(qǐng)備份配置文件conf目錄 和 數(shù)據(jù)庫(kù)，并停止服務(wù)

使用新版的 anylink 二進(jìn)制文件替換舊版

重啟服務(wù)后，即可完成升級(jí)

Setting

依賴設(shè)置

服務(wù)端依賴安裝:

centos: yum install iptables iproute

ubuntu: apt-get install iptables iproute2

link_mode 設(shè)置

以下參數(shù)必須設(shè)置其中之一

網(wǎng)絡(luò)模式選擇，需要配置 link_mode 參數(shù)，如 link_mode="tun",link_mode="macvtap",link_mode="tap"(不推薦) 等參數(shù)。 不同的參數(shù)需要對(duì)服務(wù)器做相應(yīng)的設(shè)置。

建議優(yōu)先選擇 tun 模式，其次選擇 macvtap 模式，因客戶端傳輸?shù)氖?IP 層數(shù)據(jù)，無須進(jìn)行數(shù)據(jù)轉(zhuǎn)換。 tap 模式是在用戶態(tài)做的鏈路層到 IP 層的數(shù)據(jù)互相轉(zhuǎn)換，性能會(huì)有所下降。 如果需要在虛擬機(jī)內(nèi)開啟 tap 模式，請(qǐng)確認(rèn)虛擬機(jī)的網(wǎng)卡開啟混雜模式。

tun 設(shè)置

1. 開啟服務(wù)器轉(zhuǎn)發(fā)

# 新版本支持自動(dòng)設(shè)置ip轉(zhuǎn)發(fā)
# file: /etc/sysctl.conf
net.ipv4.ip_forward = 1
#執(zhí)行如下命令
sysctl -w net.ipv4.ip_forward=1
# 查看設(shè)置是否生效
cat /proc/sys/net/ipv4/ip_forward

2.1 設(shè)置 nat 轉(zhuǎn)發(fā)規(guī)則(二選一)

systemctl stop firewalld.service
systemctl disable firewalld.service
# 新版本支持自動(dòng)設(shè)置nat轉(zhuǎn)發(fā)，如有其他需求可以參考下面的命令配置
# 請(qǐng)根據(jù)服務(wù)器內(nèi)網(wǎng)網(wǎng)卡替換 eth0
# iptables -t nat -A POSTROUTING -s 192.168.90.0/24 -o eth0 -j MASQUERADE
# 如果執(zhí)行第一個(gè)命令不生效，可以繼續(xù)執(zhí)行下面的命令
# iptables -A FORWARD -i eth0 -s 192.168.90.0/24 -j ACCEPT
# 查看設(shè)置是否生效
# iptables -nL -t nat

2.2 使用全局路由轉(zhuǎn)發(fā)(二選一)

# 假設(shè)anylink所在服務(wù)器的內(nèi)網(wǎng)ip: 10.1.2.10
# 首先關(guān)閉nat轉(zhuǎn)發(fā)功能
iptables_nat = false
# 傳統(tǒng)網(wǎng)絡(luò)架構(gòu)，在華三交換機(jī)添加以下靜態(tài)路由規(guī)則
ip route-static 192.168.90.0 255.255.255.0 10.1.2.10
# 其他品牌的交換機(jī)命令，請(qǐng)參考以下地址
https://cloud.tencent.com/document/product/216/62007
# 公有云環(huán)境下，需設(shè)置vpc下的路由表，添加以下路由策略
目的端: 192.168.90.0/24
下一跳類型: 云服務(wù)器
下一跳: 10.1.2.10

3. 使用 AnyConnect 客戶端連接即可

橋接設(shè)置

1. 設(shè)置配置文件

macvtap 設(shè)置相對(duì)比較簡(jiǎn)單，只需要配置相應(yīng)的參數(shù)即可。

網(wǎng)絡(luò)要求：需要網(wǎng)絡(luò)支持 ARP 傳輸，可通過 ARP 宣告普通內(nèi)網(wǎng) IP。

網(wǎng)絡(luò)限制：云環(huán)境下不能使用，網(wǎng)卡mac加白環(huán)境不能使用，802.1x認(rèn)證網(wǎng)絡(luò)不能使用

以下參數(shù)可以通過執(zhí)行 ip a 查看

1.1 arp_proxy

# file: /etc/sysctl.conf
net.ipv4.conf.all.proxy_arp = 1
#執(zhí)行如下命令
sysctl -w net.ipv4.conf.all.proxy_arp=1
配置文件修改:
# 首先關(guān)閉nat轉(zhuǎn)發(fā)功能
iptables_nat = false
link_mode = "tun"
#內(nèi)網(wǎng)主網(wǎng)卡名稱
ipv4_master = "eth0"
#以下網(wǎng)段需要跟ipv4_master網(wǎng)卡設(shè)置成一樣
ipv4_cidr = "10.1.2.0/24"
ipv4_gateway = "10.1.2.99"
ipv4_start = "10.1.2.100"
ipv4_end = "10.1.2.200"

1.2 macvtap

# 命令行執(zhí)行 master網(wǎng)卡需要打開混雜模式
ip link set dev eth0 promisc on
#=====================#
# 配置文件修改
# 首先關(guān)閉nat轉(zhuǎn)發(fā)功能
iptables_nat = false
link_mode = "macvtap"
#內(nèi)網(wǎng)主網(wǎng)卡名稱
ipv4_master = "eth0"
#以下網(wǎng)段需要跟ipv4_master網(wǎng)卡設(shè)置成一樣
ipv4_cidr = "10.1.2.0/24"
ipv4_gateway = "10.1.2.1"
ipv4_start = "10.1.2.100"
ipv4_end = "10.1.2.200"

Deploy

部署配置文件放在 deploy 目錄下，請(qǐng)根據(jù)實(shí)際情況修改配置文件

Systemd

1. 添加 anylink 程序

   • 首先把 anylink-deploy 文件夾放入 /usr/local/anylink-deploy
   • 添加執(zhí)行權(quán)限 chmod +x /usr/local/anylink-deploy/anylink

2. 把 anylink.service 腳本放入：

   • centos: /usr/lib/systemd/system/
   • ubuntu: /lib/systemd/system/

3. 操作命令:

   • 加載配置: systemctl daemon-reload
   • 啟動(dòng): systemctl start anylink
   • 停止: systemctl stop anylink
   • 開機(jī)自啟: systemctl enable anylink

Docker Compose

1. 進(jìn)入 deploy 目錄

2. 執(zhí)行腳本 docker-compose up

k8s

1. 進(jìn)入 deploy 目錄

2. 執(zhí)行腳本 kubectl apply -f deployment.yaml

Docker

anylink 鏡像地址

對(duì)于國(guó)內(nèi)用戶，為提高鏡像拉取體驗(yàn)，可以考慮拉取存放于阿里云鏡像倉(cāng)庫(kù)的鏡像，鏡像名稱及標(biāo)簽如下表所示( 具體版本號(hào)可以查看 version 文件):

支持設(shè)備/平臺(tái)

docker 鏡像源地址

docker.1ms.run/bjdgyc/anylink:latest

dockerhub.yydy.link:2023/bjdgyc/anylink:latest

操作步驟

1. 獲取鏡像

   # 具體tag可以從docker hub獲取
   # https://hub.docker.com/r/bjdgyc/anylink/tags
   docker pull bjdgyc/anylink:latest
   docker pull registry.cn-hangzhou.aliyuncs.com/bjdgyc/anylink:latest

2. 查看命令信息

   docker run -it --rm bjdgyc/anylink -h

3. 生成密碼

   docker run -it --rm bjdgyc/anylink tool -p 123456
   #Passwd:$2a$10$lCWTCcGmQdE/4Kb1wabbLelu4vY/cUwBwN64xIzvXcihFgRzUvH2a

4. 生成 jwt secret

   docker run -it --rm bjdgyc/anylink tool -s
   #Secret:9qXoIhY01jqhWIeIluGliOS4O_rhcXGGGu422uRZ1JjZxIZmh17WwzW36woEbA

5. 查看所有配置項(xiàng)

   docker run -it --rm bjdgyc/anylink tool -d

6. iptables兼容設(shè)置

   # 默認(rèn) iptables 使用 nf_tables 設(shè)置轉(zhuǎn)發(fā)規(guī)則,如果內(nèi)核低于 4.19 版本,需要特殊配置
   docker run -itd --name anylink --privileged \
      -e IPTABLES_LEGACY=on \
      -p 443:443 -p 8800:8800 -p 443:443/udp \
      --restart=always \
      bjdgyc/anylink

7. 啟動(dòng)容器

   # 默認(rèn)啟動(dòng)
   docker run -itd --name anylink --privileged \
       -p 443:443 -p 8800:8800 -p 443:443/udp \
       --restart=always \
       bjdgyc/anylink
   # 自定義配置目錄
   # 首次啟動(dòng)會(huì)自動(dòng)創(chuàng)建配置文件
   # 配置文件初始化完成后，容器會(huì)強(qiáng)制退出，請(qǐng)重新啟動(dòng)容器
   docker run -itd --name anylink --privileged \
       -p 443:443 -p 8800:8800 -p 443:443/udp \
       -v /home/myconf:/app/conf \
       --restart=always \
       bjdgyc/anylink
   docker restart anylink

8. 使用自定義參數(shù)啟動(dòng)容器

   # 參數(shù)可以參考 ./anylink tool -d
   # 可以使用命令行參數(shù) 或者 環(huán)境變量 配置
   docker run -itd --name anylink --privileged \
       -e LINK_LOG_LEVEL=info \
       -p 443:443 -p 8800:8800 -p 443:443/udp \
       -v /home/myconf:/app/conf \
       --restart=always \
       bjdgyc/anylink \
       --ip_lease=1209600 # IP地址租約時(shí)長(zhǎng)

9. 使用非特權(quán)模式啟動(dòng)容器

   # 參數(shù)可以參考 ./anylink tool -d
   # 可以使用命令行參數(shù) 或者 環(huán)境變量 配置
   docker run -itd --name anylink \
       -p 443:443 -p 8800:8800 -p 443:443/udp \
       -v /dev/net/tun:/dev/net/tun --cap-add=NET_ADMIN \
       --restart=always \
       bjdgyc/anylink

10. 構(gòu)建鏡像 (非必需)

#獲取倉(cāng)庫(kù)源碼
git clone https://github.com/bjdgyc/anylink.git
# 構(gòu)建鏡像
sh build_docker.sh
或
docker build -t anylink -f docker/Dockerfile .

常見問題

請(qǐng)前往 問題地址 查看具體信息

Support Document

• 三方文檔-男孩的天職

• 三方文檔-issues

• 三方文檔-思有云

• 三方文檔-楊楊得億 Windows電腦連接步驟-楊楊得億

Support Client

• AnyConnect Secure Client (可通過群文件下載: Windows/macOS/Linux/Android/iOS)

• OpenConnect (Windows/macOS/Linux)

• 三方 AnyLink Secure Client (Windows/macOS/Linux)

• 【推薦】三方客戶端下載地址( Windows/macOS/Linux/Android/iOS) 國(guó)內(nèi)地址

Contribution

歡迎提交 PR、Issues，感謝為 AnyLink 做出貢獻(xiàn)。

注意新建 PR，需要提交到 dev 分支，其他分支暫不會(huì)合并。

Other Screenshot

License

本項(xiàng)目采用 AGPL-3.0 開源授權(quán)許可證，完整的授權(quán)說明已放置在 LICENSE 文件中。

注意事項(xiàng)

1. 不要和 tailscale
   一起用
2. 《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》第六條：“計(jì)算機(jī)信息網(wǎng)絡(luò)直接進(jìn)行國(guó)際聯(lián)網(wǎng)，必須使用郵電部國(guó)家公用電信網(wǎng)提供的國(guó)際出入口信道。任何單位和個(gè)人不得自行建立或者使用其他信道進(jìn)行國(guó)際聯(lián)網(wǎng)?！?/section>
3. 根據(jù)工信部《工業(yè)和信息化部關(guān)于清理規(guī)范互聯(lián)網(wǎng)網(wǎng)絡(luò)接入服務(wù)市場(chǎng)的通知》的規(guī)定：“未經(jīng)電信主管部門批準(zhǔn)，不得自行建立或租用專線（含虛擬專用網(wǎng)絡(luò)VPN）等其他信道開展跨境經(jīng)營(yíng)活動(dòng)?！?/section>

參考文檔

1. bjdgyc/anylink: AnyLink是一個(gè)企業(yè)級(jí)遠(yuǎn)程辦公 ssl vpn 軟件，可以支持多人同時(shí)在線使用?；?openconnect 協(xié)議開發(fā)，并且借鑒了 ocserv 的開發(fā)思路，可以完全兼容 AnyConnect 客戶端。
   地址：https://github.com/bjdgyc/anylink

2. 開源企業(yè)級(jí)遠(yuǎn)程辦公 VPN 軟件 AnyLink 的 docker 部署及使用心得 - 思有云 - IOIOX
   地址：https://www.ioiox.com/archives/128.html

3. OpenWRT 路由器 OpenConnect VPN 詳細(xì)圖文教程 - 基礎(chǔ)配置篇 - 思有云 - IOIOX
   地址：https://www.ioiox.com/archives/89.html

4. MAC上Cisco AnyConnect刪除不干凈,造成無法重新安裝的解決辦法 - 簡(jiǎn)書
   地址：https://www.jianshu.com/p/8cf02bfa0388