Cisco AnyConnect 证书认证+Launcher 一键连接完整教程
humiaozuzu · humiaozuzu · 2015-03-24 20:29:36 +08:00 · 37977 次点击这是一个创建于 3530 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 · 2015-03-24 23:55:10 +08:00
新版的 ocserv 支持了 no-route,刚刚更新了下路由表,实现了国内外动态翻墙。
另外,第二步中的 iPhone Configuration Utility 配置,对于企业来说会比较方便,如果是个人,建议自己导入证书,输入服务器的 ip 就行了。
另外,第二步中的 iPhone Configuration Utility 配置,对于企业来说会比较方便,如果是个人,建议自己导入证书,输入服务器的 ip 就行了。
第 2 条附言 · 2015-04-15 16:28:48 +08:00
@constance 刚刚更新了 ip 段,Instagram 可以正常访问了
113 条回复 • 2015-07-08 12:46:49 +08:00
 |
1
Daniel65536 2015-03-24 20:38:40 +08:00 via iPad
部署配置文件没必要用那玩意。
直接在Anyconnect for iOS内输入p12文件的网址就够了。 |
 |
2
humiaozuzu OP @Daniel65536 公司人多,点一下就安装方便些
|
 |
3
belin520 2015-03-24 20:51:00 +08:00
人工置顶
曾经跟我一起LOL的战友! |
|
4
Daniel65536 2015-03-24 21:30:02 +08:00 via iPad
@humiaozuzu 既然如此,那么为什么要:
[配置 Cisco AnyConnect,选对vpn类型,填写服务器地址,认证方式为证书,证书文件选中刚刚导入的。] 而不用: anyconnect://create?name=Example%201&host=vpn.example.com&usecert=true&certcommonname=certname 呢? |
 |
6
kacong 2015-03-24 21:30:51 +08:00
谢谢,安装这个需要开哪些firewall端口和服务?
|
|
7
Daniel65536 2015-03-24 21:35:18 +08:00 via iPhone
另外,仅仅是安装证书的话,用URL scheme可能更简单:
anyconnect://import/?type=pkcs12&uri=http%3A%2F%2Fexample.com%2FCertName.p12 |
 |
8
cloverstd 2015-03-24 21:36:09 +08:00  1
Ubuntu 12.04 报错
fatal error: 'readline.h' file not found 缺少依赖 sudo apt-get install libreadline-dev 安装后即可 |
|
10
humiaozuzu OP @Daniel65536 大部分情况下,公司的人还有朋友都没买 Launcher,所以对他们来说,进 App 点一下开启 vpn 最方便
|
 |
11
isKira 2015-03-24 21:49:54 +08:00
人工置顶拍拍手
|
 |
12
cloudhyl 2015-03-24 21:54:32 +08:00
这个东西好像可以下发路由表给客户端实现智能代理 请问教程里能实现这功能嘛
|
|
13
humiaozuzu OP @cloudhyl 路由表已经有了
|
|
14
humiaozuzu OP @cloverstd 不过你说的挺对,对这里的大部分人来说,还是直接填方便些。
|
 |
15
lsmgeb89 2015-03-24 22:01:17 +08:00
赞一个,前两天昨天还在弄 Launch center pro。
这个部署方式,客户端需要输密码吗?还是用证书验证的? |
|
16
humiaozuzu OP @lsmgeb89 题目都说了是证书啊 =。= 点一下就行了
|
|
17
cloudhyl 2015-03-24 22:03:46 +08:00
@humiaozuzu 好的 感谢 回头试试看
|
|
18
lsmgeb89 2015-03-24 22:05:25 +08:00
服务器部署还是蛮简单的,我在想 Anyconnect 能不能国内用个跳板机中转呢?
现在电信,ss 只能国内跳板连美帝速度爽,直接连美帝简直大概就几 K 的速度。 但我又不想越狱,ss 在 iOS 上基本残废,很不爽。 |
 |
19
acoada 2015-03-24 23:12:54 +08:00 via iPhone
Many thanks!
|
 |
20
andyliu 2015-03-24 23:38:44 +08:00
执行这句
LD_LIBRARY_PATH=/opt/local/lib ./sbin/ocserv -c etc/config -f -d 1 提示 bash: ./sbin/ocserv: No such file or directory |
 |
21
phoenixlzx 2015-03-25 00:17:15 +08:00 via Android
不错的样子...
|
|
22
humiaozuzu OP @belin520 一局都不陪我玩
|
 |
24
Quaintjade 2015-03-25 00:37:02 +08:00
ocserv 0.10.0的Changelog不是说不支持证书登陆了吗,为什么还能用?
Support for certificate[optional] authentication has been removed |
 |
25
Yien 2015-03-25 00:54:02 +08:00 via Android
make
thanks |
 |
26
66CCFF 2015-03-25 01:13:12 +08:00
赞。
|
|
27
Daniel65536 2015-03-25 01:18:32 +08:00 via iPhone
@humiaozuzu URL scheme不需要launcher,事实上,你直接把URL scheme写在邮件正文或者是网页上就好。
这玩意就是一个链接,点一下以链接形式存在的URL scheme就能完成创建vpn并导入证书,比你现在的方案简单太多了。 |
|
28
Daniel65536 2015-03-25 01:20:22 +08:00 via iPhone 1
@Quaintjade 是指移除了可选证书登录,证书登录不再可以被设定为可选的,只能被设定为必选的。
|
 |
29
liyangyijie 2015-03-25 07:09:14 +08:00 via Android 1
@lsmgeb89 haproxy ocserv注释udp端口 连ss一块中转了
|
 |
30
pH 2015-03-25 08:57:07 +08:00
借问楼主一句,这样配置了VPN之后和ss能够共存么?
|
|
31
humiaozuzu OP @pH 暂时没试过 =。=
|
|
32
pH 2015-03-25 10:01:53 +08:00
@humiaozuzu hell No=-= 我被这个整疯了,基本所有的VPN都要配置转发表,我就怕这个一弄,ss就会出问题
|
 |
33
coolicer 2015-03-25 10:25:12 +08:00
我也是配置了vpn和ss,这个会有影响吗?
|
|
34
humiaozuzu OP @coolicer iOS 下 ss 不是只能 ss 这个 app 里面用吗?
|
 |
35
lekai63 2015-03-25 10:40:25 +08:00
mark 下
|
 |
36
walkingway 2015-03-25 10:49:10 +08:00
存着,好不容易搞定了搬瓦工的ss和ipsec,以后有需要在折腾
|
 |
37
qianlicao353 2015-03-25 10:51:11 +08:00
楼主,有路由表吗,可否共享
|
 |
38
efin 2015-03-25 10:59:03 +08:00
感谢LZ,这两天正在搭呢。
|
|
39
coolicer 2015-03-25 11:14:18 +08:00
@humiaozuzu 我没有在ios用
|
|
40
qianlicao353 2015-03-25 11:17:15 +08:00
@humiaozuzu 楼主,有路由表吗,可否共享
|
 |
41
lliioogg 2015-03-25 11:29:28 +08:00
我其实比较好奇有没有返回主屏幕的url
|
|
42
humiaozuzu OP @qianlicao353 有的 文章给了github地址
|
 |
43
laincat 2015-03-25 11:35:34 +08:00
这个给力!留个脚印
|
 |
44
l0wkey 2015-03-25 12:42:44 +08:00 via Android
@humiaozuzu 同样遇到了20楼的问题..
|
|
45
humiaozuzu OP |
|
46
l0wkey 2015-03-25 13:18:25 +08:00
service ovserv start
会报 ovserv: unrecognized service 另外mv config/config /opt/ocserv/etc/ 是不是应该改为 mv config/ /opt/ocserv/etc/ |
 |
47
Gzxhwq 2015-03-25 14:30:16 +08:00
@humiaozuzu 不修改源码的话,只能推送96条路由表,所以你的路由表最后三条是到不了客户端那的,再精简一下吧
|
|
48
humiaozuzu OP @Gzxhwq 优化了半天,结果还多了一条。。。
|
 |
49
thidnh 2015-03-25 15:29:21 +08:00
请问iOS端需要安装anyconnect客户端吗?
|
 |
50
idigital 2015-03-25 15:32:49 +08:00
no-route有国内服务器IP列表否😄
|
|
52
humiaozuzu OP 1
@idigital 配置文件里面的就是一份~
|
|
53
thidnh 2015-03-25 15:47:00 +08:00
@humiaozuzu 请教,我制作了配置文件导入了,还需要安装anyconnect客户端吗?
|
 |
54
lzk800 2015-03-25 15:55:56 +08:00
原来Launcher已经回归了啊,果断马上去下载一个 ^_^
|
 |
55
lex 2015-03-25 16:02:26 +08:00
|
|
57
Daniel65536 2015-03-25 18:13:49 +08:00
@humiaozuzu 没必要这么优化。
欢迎使用这个简单的patch: sed -i "s/#define MAX_CONFIG_ENTRIES 96/#define MAX_CONFIG_ENTRIES 200/g" ./src/vpn.h 可以把96条的限制扩展到200条(客户端上限200条)。 |
|
58
humiaozuzu OP @Daniel65536 thx,我自己的修改了。
问一个问题,你那边 no-route 和 route 可以同时生效吗?我这里测试不行 |
|
59
Daniel65536 2015-03-25 19:41:28 +08:00
@humiaozuzu 我的测试也是不行。
|
 |
60
agassi_yzh 2015-03-25 22:03:49 +08:00
用docker部署会快很多
|
|
61
lzk800 2015-03-26 07:33:47 +08:00
@humiaozuzu 请教,你的国旗图标哪来的?我也想弄成这样
|
|
62
humiaozuzu OP @lzk800 Google 图片直接搜的,选几个好看的就行了。。。
|
|
63
lzk800 2015-03-26 09:08:31 +08:00
@humiaozuzu 你这个是iOS风格的吧,关键词是什么啊……多谢
|
|
64
humiaozuzu OP 1
@lzk800 japan icon/singapore icon ...
|
 |
65
qsmoon 2015-03-26 09:14:48 +08:00
昨天试了下,服务器部署好了。我看443端口listening,
windows7上anyconnect链接时,提示证书not valid,然后添加证书,然后就提示链接失败。。。 怎么debug啊 |
 |
66
kkxxxxxxx 2015-03-26 09:22:07 +08:00
@humiaozuzu 路由表贴出来参考下
|
|
67
humiaozuzu OP @kkxxxxxxx 第一篇文章给了 github 地址,里面有~
|
|
68
idigital 2015-03-26 09:38:38 +08:00
@humiaozuzu 我想加入网易云音乐的IP,但是貌似这个no-route有数量限制呢
|
|
69
idigital 2015-03-26 09:40:00 +08:00
@humiaozuzu 能否注释下哪些网段设计哪些网站呢?比如我想配置QQ,微博和网易云音乐,谢谢了
|
 |
70
wjchen 2015-03-26 10:25:18 +08:00
一直用这个: https://g.owind.com/connect-anyconnect-in-today-widge/
Launcher要设置图标太麻烦了,各种乱七八糟的图标摆在一起丑死。。。 |
|
71
humiaozuzu OP @wjchen 没上架之前,我也用的 Open it 。。。觉得还是太单调了些,而且open it 在每次滑出菜单时,要等一会才出现。。。
|
 |
72
diPJN9FP1s5Y720V 2015-03-26 11:02:40 +08:00
@humiaozuzu 楼主 VPS 已经有个HTTPS网站 443端口被占用 能改成其他端口吗、、、
|
|
73
humiaozuzu OP @andi 记得配置里面是可以修改端口的,可以自己试试
|
 |
74
RainFlying 2015-03-26 11:44:30 +08:00
我是在 Android 用 Tasker,然后在连上数据网络或者 WIFI 的时候自动打开 AnyConnect
然后自动输入账号密码再连接的。 |
|
75
diPJN9FP1s5Y720V 2015-03-26 14:49:25 +08:00
root@host:/opt/ocserv# LD_LIBRARY_PATH=/opt/local/lib ./sbin/ocserv -c etc/config -f -d 1
Setting 'certificate' as primary authentication method listening (TCP) on 0.0.0.0:4430... listening (UDP) on 0.0.0.0:4430... ocserv[2873]: main: initialized ocserv 0.10.1 ocserv[2874]: sec-mod: sec-mod initialized (socket: /var/run/ocserv-socket.2873) ocserv[2873]: main: processed 1 CA certificate(s) 这是链接成功么 但是执行service ocserv start 提示 ocserv: unrecognized service |
|
76
humiaozuzu OP @andi 你的 service 没找到,说明 upstart 脚本并没有放到对应的目录
|
|
77
diPJN9FP1s5Y720V 2015-03-26 15:13:33 +08:00
@humiaozuzu 感谢 搞定!
|
 |
78
Totoria 2015-03-28 21:37:04 +08:00
make: *** No targets specified and no makefile found. Stop.
make: *** No rule to make target `install'. Stop. |
|
79
Daniel65536 2015-03-28 23:15:10 +08:00 2
@idigital
# Tencent 59.78.208.0/23 59.78.212.0/24 103.7.28.0/22 112.90.136.0/22 115.159.0.0/16 116.57.183.0/24 118.89.0.0/16 118.126.64.0/18 119.27.160.0/19 119.29.0.0/16 120.95.74.0/24 121.51.0.0/16 182.254.0.0/20 182.254.16.0/22 182.254.24.0/20 182.254.40.0/21 182.254.72.0/19 182.254.104.0/23 182.254.106.0/24 182.254.108.0/23 182.254.112.0/23 182.254.116.0/24 182.254.118.0/24 182.254.128.0/18 182.254.192.0/19 182.254.224.0/20 182.254.240.0/21 182.254.248.0/24 203.195.128.0/17 203.205.128.0/17 210.73.160.0/19 210.74.35.0/22 210.76.64.0/19 211.80.158.0/23 211.152.144.0/20 211.159.96.0/19 222.202.96.0/24 222.213.0.0/24 #NetEase 106.2.32.0/18 106.2.96.0/19 114.113.196.0/21 115.236.112.0/20 115.238.0.0/20 121.195.176.0/22 123.58.160.0/19 211.152.17.0/24 223.252.192.0/19 |
 |
80
constance 2015-03-29 10:48:20 +08:00
@humiaozuzu instagram有部分图片不能显示 = =。
|
|
81
humiaozuzu OP @constance 是的~~ 暂时没发现解决办法
|
|
82
constance 2015-03-29 11:12:46 +08:00 via iPhone
@humiaozuzu 之前结合了几个路由表也还是没能解决
|
|
83
humiaozuzu OP @constance 可以自己折腾二分法测试下
|
|
84
constance 2015-03-29 11:36:58 +08:00 via iPhone
@humiaozuzu 好的明白。
|
|
85
humiaozuzu OP @constance 试出来后分享下~~ :)
|
|
86
constance 2015-03-29 11:58:13 +08:00
@humiaozuzu QAQ 先学习一下
|
|
87
constance 2015-03-29 13:16:31 +08:00
@humiaozuzu 刚刚换成了旧金山的服务器= =。居然好了= =。
|
|
88
66CCFF 2015-03-30 00:40:22 +08:00
和ufw不兼容吗?
我allow了 ocserv 监听的端口。。不过似乎面对的问题是一旦ufw enable就出现能拨上但无法访问公网的情况。 |
|
89
humiaozuzu OP @66CCFF iptable 的转发~~~
|
|
90
66CCFF 2015-03-30 18:36:12 +08:00 via iPhone
@humiaozuzu 嗯,我想了下应该是ufw把nat规则刷掉了😞
|
|
91
kkxxxxxxx 2015-03-31 10:44:05 +08:00
@Daniel65536 请问这条path要怎么使用
|
|
92
idigital 2015-03-31 13:57:38 +08:00
@Daniel65536 哇哦,这个超赞👍
|
 |
93
ghovik 2015-03-31 19:02:42 +08:00
目前我安装的是0.9x版本的ocserv,要用上0.10x的话,需要删除之前的版本吗?
如果需要的话怎么操作呢? |
|
94
ghovik 2015-03-31 21:12:20 +08:00
感谢分享!
执行`LD_LIBRARY_PATH=/opt/local/lib ./sbin/ocserv -c etc/config -f -d 1`的时候报错: `ocserv error 2 (No such file or directory) calling stat for 'etc/config'` 请问这个/etc/config是什么文件/文件夹?里面放什么内容? |
|
95
kkxxxxxxx 2015-04-01 10:30:01 +08:00
@Daniel65536 这种格式也可以么,不用转换么
|
 |
96
zhouterrence 2015-04-06 18:01:50 +08:00
提取证书到本地时被time out,求解决办法 scp 8.8.8.8:/opt/ocserv/ca/user.p12 .
|
|
97
humiaozuzu OP @zhouterrence 8.8.8.8 很明显不是你服务器 ip 啊。。。
|
|
98
zhouterrence 2015-04-06 19:07:34 +08:00
@humiaozuzu 谢谢 我把8.8.8.8换成了自己服务器ip后运行,请问证书被储存在哪,没有找到
|
|
99
humiaozuzu OP @zhouterrence 当前目录
|
|
100
zhouterrence 2015-04-06 19:43:49 +08:00
mv config/config /opt/ocserv/etc/ 会报错 Not a directory
|
Select Language