V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
humiaozuzu
V2EX  ›  分享创造

Cisco AnyConnect 证书认证+Launcher 一键连接完整教程

  •  
  •   humiaozuzu ·
    humiaozuzu · 2015-03-24 20:29:36 +08:00 · 38072 次点击
    这是一个创建于 3561 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2015-03-24 23:55:10 +08:00
    新版的 ocserv 支持了 no-route,刚刚更新了下路由表,实现了国内外动态翻墙。

    另外,第二步中的 iPhone Configuration Utility 配置,对于企业来说会比较方便,如果是个人,建议自己导入证书,输入服务器的 ip 就行了。
    第 2 条附言  ·  2015-04-15 16:28:48 +08:00
    @constance 刚刚更新了 ip 段,Instagram 可以正常访问了
    113 条回复    2015-07-08 12:46:49 +08:00
    1  2  
    Daniel65536
        1
    Daniel65536  
       2015-03-24 20:38:40 +08:00 via iPad
    部署配置文件没必要用那玩意。
    直接在Anyconnect for iOS内输入p12文件的网址就够了。
    humiaozuzu
        2
    humiaozuzu  
    OP
       2015-03-24 20:44:46 +08:00 via iPhone
    @Daniel65536 公司人多,点一下就安装方便些
    belin520
        3
    belin520  
       2015-03-24 20:51:00 +08:00
    人工置顶

    曾经跟我一起LOL的战友!
    Daniel65536
        4
    Daniel65536  
       2015-03-24 21:30:02 +08:00 via iPad
    @humiaozuzu 既然如此,那么为什么要:
    [配置 Cisco AnyConnect,选对vpn类型,填写服务器地址,认证方式为证书,证书文件选中刚刚导入的。]
    而不用:
    anyconnect://create?name=Example%201&host=vpn.example.com&usecert=true&certcommonname=certname
    呢?
    txx
        5
    txx  
       2015-03-24 21:30:49 +08:00
    @belin520 不带这么装逼的啊 之前怎么拉你 你都不打嘛!
    kacong
        6
    kacong  
       2015-03-24 21:30:51 +08:00
    谢谢,安装这个需要开哪些firewall端口和服务?
    Daniel65536
        7
    Daniel65536  
       2015-03-24 21:35:18 +08:00 via iPhone
    另外,仅仅是安装证书的话,用URL scheme可能更简单:
    anyconnect://import/?type=pkcs12&uri=http%3A%2F%2Fexample.com%2FCertName.p12
    cloverstd
        8
    cloverstd  
       2015-03-24 21:36:09 +08:00   ❤️ 1
    Ubuntu 12.04 报错
    fatal error: 'readline.h' file not found
    缺少依赖
    sudo apt-get install libreadline-dev 安装后即可
    belin520
        9
    belin520  
       2015-03-24 21:38:49 +08:00
    @txx 不要酱紫嘛,虾神~
    humiaozuzu
        10
    humiaozuzu  
    OP
       2015-03-24 21:49:42 +08:00
    @Daniel65536 大部分情况下,公司的人还有朋友都没买 Launcher,所以对他们来说,进 App 点一下开启 vpn 最方便
    isKira
        11
    isKira  
       2015-03-24 21:49:54 +08:00
    人工置顶拍拍手
    cloudhyl
        12
    cloudhyl  
       2015-03-24 21:54:32 +08:00
    这个东西好像可以下发路由表给客户端实现智能代理 请问教程里能实现这功能嘛
    humiaozuzu
        13
    humiaozuzu  
    OP
       2015-03-24 21:57:28 +08:00
    @cloudhyl 路由表已经有了
    humiaozuzu
        14
    humiaozuzu  
    OP
       2015-03-24 21:57:55 +08:00
    @cloverstd 不过你说的挺对,对这里的大部分人来说,还是直接填方便些。
    lsmgeb89
        15
    lsmgeb89  
       2015-03-24 22:01:17 +08:00
    赞一个,前两天昨天还在弄 Launch center pro。

    这个部署方式,客户端需要输密码吗?还是用证书验证的?
    humiaozuzu
        16
    humiaozuzu  
    OP
       2015-03-24 22:03:38 +08:00
    @lsmgeb89 题目都说了是证书啊 =。= 点一下就行了
    cloudhyl
        17
    cloudhyl  
       2015-03-24 22:03:46 +08:00
    @humiaozuzu 好的 感谢 回头试试看
    lsmgeb89
        18
    lsmgeb89  
       2015-03-24 22:05:25 +08:00
    服务器部署还是蛮简单的,我在想 Anyconnect 能不能国内用个跳板机中转呢?

    现在电信,ss 只能国内跳板连美帝速度爽,直接连美帝简直大概就几 K 的速度。

    但我又不想越狱,ss 在 iOS 上基本残废,很不爽。
    acoada
        19
    acoada  
       2015-03-24 23:12:54 +08:00 via iPhone
    Many thanks!
    andyliu
        20
    andyliu  
       2015-03-24 23:38:44 +08:00
    执行这句
    LD_LIBRARY_PATH=/opt/local/lib ./sbin/ocserv -c etc/config -f -d 1

    提示
    bash: ./sbin/ocserv: No such file or directory
    phoenixlzx
        21
    phoenixlzx  
       2015-03-25 00:17:15 +08:00 via Android
    不错的样子...
    humiaozuzu
        22
    humiaozuzu  
    OP
       2015-03-25 00:26:30 +08:00
    @belin520 一局都不陪我玩
    Showfom
        23
    Showfom  
       2015-03-25 00:31:25 +08:00   ❤️ 1
    @lsmgeb89 国内的机器里先挂上 VPN 可破
    Quaintjade
        24
    Quaintjade  
       2015-03-25 00:37:02 +08:00
    ocserv 0.10.0的Changelog不是说不支持证书登陆了吗,为什么还能用?
    Support for certificate[optional] authentication has been removed
    Yien
        25
    Yien  
       2015-03-25 00:54:02 +08:00 via Android
    make
    thanks
    66CCFF
        26
    66CCFF  
       2015-03-25 01:13:12 +08:00
    赞。
    Daniel65536
        27
    Daniel65536  
       2015-03-25 01:18:32 +08:00 via iPhone
    @humiaozuzu URL scheme不需要launcher,事实上,你直接把URL scheme写在邮件正文或者是网页上就好。

    这玩意就是一个链接,点一下以链接形式存在的URL scheme就能完成创建vpn并导入证书,比你现在的方案简单太多了。
    Daniel65536
        28
    Daniel65536  
       2015-03-25 01:20:22 +08:00 via iPhone   ❤️ 1
    @Quaintjade 是指移除了可选证书登录,证书登录不再可以被设定为可选的,只能被设定为必选的。
    liyangyijie
        29
    liyangyijie  
       2015-03-25 07:09:14 +08:00 via Android   ❤️ 1
    @lsmgeb89 haproxy ocserv注释udp端口 连ss一块中转了
    pH
        30
    pH  
       2015-03-25 08:57:07 +08:00
    借问楼主一句,这样配置了VPN之后和ss能够共存么?
    humiaozuzu
        31
    humiaozuzu  
    OP
       2015-03-25 09:47:35 +08:00
    @pH 暂时没试过 =。=
    pH
        32
    pH  
       2015-03-25 10:01:53 +08:00
    @humiaozuzu hell No=-= 我被这个整疯了,基本所有的VPN都要配置转发表,我就怕这个一弄,ss就会出问题
    coolicer
        33
    coolicer  
       2015-03-25 10:25:12 +08:00
    我也是配置了vpn和ss,这个会有影响吗?
    humiaozuzu
        34
    humiaozuzu  
    OP
       2015-03-25 10:33:46 +08:00
    @coolicer iOS 下 ss 不是只能 ss 这个 app 里面用吗?
    lekai63
        35
    lekai63  
       2015-03-25 10:40:25 +08:00
    mark 下
    walkingway
        36
    walkingway  
       2015-03-25 10:49:10 +08:00
    存着,好不容易搞定了搬瓦工的ss和ipsec,以后有需要在折腾
    qianlicao353
        37
    qianlicao353  
       2015-03-25 10:51:11 +08:00
    楼主,有路由表吗,可否共享
    efin
        38
    efin  
       2015-03-25 10:59:03 +08:00
    感谢LZ,这两天正在搭呢。
    coolicer
        39
    coolicer  
       2015-03-25 11:14:18 +08:00
    @humiaozuzu 我没有在ios用
    qianlicao353
        40
    qianlicao353  
       2015-03-25 11:17:15 +08:00
    @humiaozuzu 楼主,有路由表吗,可否共享
    lliioogg
        41
    lliioogg  
       2015-03-25 11:29:28 +08:00
    我其实比较好奇有没有返回主屏幕的url
    humiaozuzu
        42
    humiaozuzu  
    OP
       2015-03-25 11:29:48 +08:00 via iPhone
    @qianlicao353 有的 文章给了github地址
    laincat
        43
    laincat  
       2015-03-25 11:35:34 +08:00
    这个给力!留个脚印
    l0wkey
        44
    l0wkey  
       2015-03-25 12:42:44 +08:00 via Android
    @humiaozuzu 同样遇到了20楼的问题..
    humiaozuzu
        45
    humiaozuzu  
    OP
       2015-03-25 12:44:46 +08:00
    @andyliu @l0wkey
    程序安装到了 /opt/ocserv/ 目录下,需要到这里执行代码。。。
    l0wkey
        46
    l0wkey  
       2015-03-25 13:18:25 +08:00
    service ovserv start
    会报 ovserv: unrecognized service

    另外mv config/config /opt/ocserv/etc/
    是不是应该改为 mv config/ /opt/ocserv/etc/
    Gzxhwq
        47
    Gzxhwq  
       2015-03-25 14:30:16 +08:00
    @humiaozuzu 不修改源码的话,只能推送96条路由表,所以你的路由表最后三条是到不了客户端那的,再精简一下吧
    humiaozuzu
        48
    humiaozuzu  
    OP
       2015-03-25 14:51:54 +08:00
    @Gzxhwq 优化了半天,结果还多了一条。。。
    thidnh
        49
    thidnh  
       2015-03-25 15:29:21 +08:00
    请问iOS端需要安装anyconnect客户端吗?
    idigital
        50
    idigital  
       2015-03-25 15:32:49 +08:00
    no-route有国内服务器IP列表否😄
    Actrace
        51
    Actrace  
       2015-03-25 15:35:35 +08:00   ❤️ 1
    @lsmgeb89 vxtrans有国内跳板。阿里云的网络。
    humiaozuzu
        52
    humiaozuzu  
    OP
       2015-03-25 15:40:24 +08:00   ❤️ 1
    @idigital 配置文件里面的就是一份~
    thidnh
        53
    thidnh  
       2015-03-25 15:47:00 +08:00
    @humiaozuzu 请教,我制作了配置文件导入了,还需要安装anyconnect客户端吗?
    lzk800
        54
    lzk800  
       2015-03-25 15:55:56 +08:00
    原来Launcher已经回归了啊,果断马上去下载一个 ^_^
    lex
        55
    lex  
       2015-03-25 16:02:26 +08:00
    可以用这个快速搞定:
    https://github.com/ftao/vpn-deploy-playbook

    ansible-playbook openconnect.yml
    lsmgeb89
        56
    lsmgeb89  
       2015-03-25 17:47:00 +08:00   ❤️ 1
    @Actrace 哎,自己 vnet 也用了好久了,居然没有注意到。
    Daniel65536
        57
    Daniel65536  
       2015-03-25 18:13:49 +08:00
    @humiaozuzu 没必要这么优化。
    欢迎使用这个简单的patch:
    sed -i "s/#define MAX_CONFIG_ENTRIES 96/#define MAX_CONFIG_ENTRIES 200/g" ./src/vpn.h
    可以把96条的限制扩展到200条(客户端上限200条)。
    humiaozuzu
        58
    humiaozuzu  
    OP
       2015-03-25 18:59:15 +08:00
    @Daniel65536 thx,我自己的修改了。
    问一个问题,你那边 no-route 和 route 可以同时生效吗?我这里测试不行
    Daniel65536
        59
    Daniel65536  
       2015-03-25 19:41:28 +08:00
    @humiaozuzu 我的测试也是不行。
    agassi_yzh
        60
    agassi_yzh  
       2015-03-25 22:03:49 +08:00
    用docker部署会快很多
    lzk800
        61
    lzk800  
       2015-03-26 07:33:47 +08:00
    @humiaozuzu 请教,你的国旗图标哪来的?我也想弄成这样
    humiaozuzu
        62
    humiaozuzu  
    OP
       2015-03-26 08:39:32 +08:00
    @lzk800 Google 图片直接搜的,选几个好看的就行了。。。
    lzk800
        63
    lzk800  
       2015-03-26 09:08:31 +08:00
    @humiaozuzu 你这个是iOS风格的吧,关键词是什么啊……多谢
    humiaozuzu
        64
    humiaozuzu  
    OP
       2015-03-26 09:10:42 +08:00   ❤️ 1
    @lzk800 japan icon/singapore icon ...
    qsmoon
        65
    qsmoon  
       2015-03-26 09:14:48 +08:00
    昨天试了下,服务器部署好了。我看443端口listening,
    windows7上anyconnect链接时,提示证书not valid,然后添加证书,然后就提示链接失败。。。
    怎么debug啊
    kkxxxxxxx
        66
    kkxxxxxxx  
       2015-03-26 09:22:07 +08:00
    @humiaozuzu 路由表贴出来参考下
    humiaozuzu
        67
    humiaozuzu  
    OP
       2015-03-26 09:34:29 +08:00
    @kkxxxxxxx 第一篇文章给了 github 地址,里面有~
    idigital
        68
    idigital  
       2015-03-26 09:38:38 +08:00
    @humiaozuzu 我想加入网易云音乐的IP,但是貌似这个no-route有数量限制呢
    idigital
        69
    idigital  
       2015-03-26 09:40:00 +08:00
    @humiaozuzu 能否注释下哪些网段设计哪些网站呢?比如我想配置QQ,微博和网易云音乐,谢谢了
    wjchen
        70
    wjchen  
       2015-03-26 10:25:18 +08:00
    一直用这个: https://g.owind.com/connect-anyconnect-in-today-widge/
    Launcher要设置图标太麻烦了,各种乱七八糟的图标摆在一起丑死。。。
    humiaozuzu
        71
    humiaozuzu  
    OP
       2015-03-26 10:35:10 +08:00
    @wjchen 没上架之前,我也用的 Open it 。。。觉得还是太单调了些,而且open it 在每次滑出菜单时,要等一会才出现。。。
    diPJN9FP1s5Y720V
        72
    diPJN9FP1s5Y720V  
       2015-03-26 11:02:40 +08:00
    @humiaozuzu 楼主 VPS 已经有个HTTPS网站 443端口被占用 能改成其他端口吗、、、
    humiaozuzu
        73
    humiaozuzu  
    OP
       2015-03-26 11:39:06 +08:00
    @andi 记得配置里面是可以修改端口的,可以自己试试
    RainFlying
        74
    RainFlying  
       2015-03-26 11:44:30 +08:00
    我是在 Android 用 Tasker,然后在连上数据网络或者 WIFI 的时候自动打开 AnyConnect
    然后自动输入账号密码再连接的。
    diPJN9FP1s5Y720V
        75
    diPJN9FP1s5Y720V  
       2015-03-26 14:49:25 +08:00
    root@host:/opt/ocserv# LD_LIBRARY_PATH=/opt/local/lib ./sbin/ocserv -c etc/config -f -d 1
    Setting 'certificate' as primary authentication method
    listening (TCP) on 0.0.0.0:4430...
    listening (UDP) on 0.0.0.0:4430...
    ocserv[2873]: main: initialized ocserv 0.10.1
    ocserv[2874]: sec-mod: sec-mod initialized (socket: /var/run/ocserv-socket.2873)
    ocserv[2873]: main: processed 1 CA certificate(s)

    这是链接成功么

    但是执行service ocserv start 提示
    ocserv: unrecognized service
    humiaozuzu
        76
    humiaozuzu  
    OP
       2015-03-26 15:01:16 +08:00
    @andi 你的 service 没找到,说明 upstart 脚本并没有放到对应的目录
    diPJN9FP1s5Y720V
        77
    diPJN9FP1s5Y720V  
       2015-03-26 15:13:33 +08:00
    @humiaozuzu 感谢 搞定!
    Totoria
        78
    Totoria  
       2015-03-28 21:37:04 +08:00
    make: *** No targets specified and no makefile found. Stop.
    make: *** No rule to make target `install'. Stop.
    Daniel65536
        79
    Daniel65536  
       2015-03-28 23:15:10 +08:00   ❤️ 2
    @idigital
    # Tencent
    59.78.208.0/23
    59.78.212.0/24
    103.7.28.0/22
    112.90.136.0/22
    115.159.0.0/16
    116.57.183.0/24
    118.89.0.0/16
    118.126.64.0/18
    119.27.160.0/19
    119.29.0.0/16
    120.95.74.0/24
    121.51.0.0/16
    182.254.0.0/20
    182.254.16.0/22
    182.254.24.0/20
    182.254.40.0/21
    182.254.72.0/19
    182.254.104.0/23
    182.254.106.0/24
    182.254.108.0/23
    182.254.112.0/23
    182.254.116.0/24
    182.254.118.0/24
    182.254.128.0/18
    182.254.192.0/19
    182.254.224.0/20
    182.254.240.0/21
    182.254.248.0/24
    203.195.128.0/17
    203.205.128.0/17
    210.73.160.0/19
    210.74.35.0/22
    210.76.64.0/19
    211.80.158.0/23
    211.152.144.0/20
    211.159.96.0/19
    222.202.96.0/24
    222.213.0.0/24

    #NetEase
    106.2.32.0/18
    106.2.96.0/19
    114.113.196.0/21
    115.236.112.0/20
    115.238.0.0/20
    121.195.176.0/22
    123.58.160.0/19
    211.152.17.0/24
    223.252.192.0/19
    constance
        80
    constance  
       2015-03-29 10:48:20 +08:00
    @humiaozuzu instagram有部分图片不能显示 = =。
    humiaozuzu
        81
    humiaozuzu  
    OP
       2015-03-29 10:51:35 +08:00
    @constance 是的~~ 暂时没发现解决办法
    constance
        82
    constance  
       2015-03-29 11:12:46 +08:00 via iPhone
    @humiaozuzu 之前结合了几个路由表也还是没能解决
    humiaozuzu
        83
    humiaozuzu  
    OP
       2015-03-29 11:13:56 +08:00
    @constance 可以自己折腾二分法测试下
    constance
        84
    constance  
       2015-03-29 11:36:58 +08:00 via iPhone
    @humiaozuzu 好的明白。
    humiaozuzu
        85
    humiaozuzu  
    OP
       2015-03-29 11:55:11 +08:00
    @constance 试出来后分享下~~ :)
    constance
        86
    constance  
       2015-03-29 11:58:13 +08:00
    @humiaozuzu QAQ 先学习一下
    constance
        87
    constance  
       2015-03-29 13:16:31 +08:00
    @humiaozuzu 刚刚换成了旧金山的服务器= =。居然好了= =。
    66CCFF
        88
    66CCFF  
       2015-03-30 00:40:22 +08:00
    和ufw不兼容吗?
    我allow了 ocserv 监听的端口。。不过似乎面对的问题是一旦ufw enable就出现能拨上但无法访问公网的情况。
    humiaozuzu
        89
    humiaozuzu  
    OP
       2015-03-30 17:39:23 +08:00
    @66CCFF iptable 的转发~~~
    66CCFF
        90
    66CCFF  
       2015-03-30 18:36:12 +08:00 via iPhone
    @humiaozuzu 嗯,我想了下应该是ufw把nat规则刷掉了😞
    kkxxxxxxx
        91
    kkxxxxxxx  
       2015-03-31 10:44:05 +08:00
    @Daniel65536 请问这条path要怎么使用
    idigital
        92
    idigital  
       2015-03-31 13:57:38 +08:00
    @Daniel65536 哇哦,这个超赞👍
    ghovik
        93
    ghovik  
       2015-03-31 19:02:42 +08:00
    目前我安装的是0.9x版本的ocserv,要用上0.10x的话,需要删除之前的版本吗?
    如果需要的话怎么操作呢?
    ghovik
        94
    ghovik  
       2015-03-31 21:12:20 +08:00
    感谢分享!
    执行`LD_LIBRARY_PATH=/opt/local/lib ./sbin/ocserv -c etc/config -f -d 1`的时候报错:
    `ocserv error 2 (No such file or directory) calling stat for 'etc/config'`
    请问这个/etc/config是什么文件/文件夹?里面放什么内容?
    kkxxxxxxx
        95
    kkxxxxxxx  
       2015-04-01 10:30:01 +08:00
    @Daniel65536 这种格式也可以么,不用转换么
    zhouterrence
        96
    zhouterrence  
       2015-04-06 18:01:50 +08:00
    提取证书到本地时被time out,求解决办法 scp 8.8.8.8:/opt/ocserv/ca/user.p12 .
    humiaozuzu
        97
    humiaozuzu  
    OP
       2015-04-06 18:09:21 +08:00
    @zhouterrence 8.8.8.8 很明显不是你服务器 ip 啊。。。
    zhouterrence
        98
    zhouterrence  
       2015-04-06 19:07:34 +08:00
    @humiaozuzu 谢谢 我把8.8.8.8换成了自己服务器ip后运行,请问证书被储存在哪,没有找到
    humiaozuzu
        99
    humiaozuzu  
    OP
       2015-04-06 19:36:35 +08:00
    @zhouterrence 当前目录
    zhouterrence
        100
    zhouterrence  
       2015-04-06 19:43:49 +08:00
    mv config/config /opt/ocserv/etc/ 会报错 Not a directory
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   884 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 21:55 · PVG 05:55 · LAX 13:55 · JFK 16:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.