V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
wkdhf233
V2EX  ›  问与答

ocserv.conf 加上 route 之后, iOS 客户端的访问全乱了,有人遇到吗?

  •  
  •   wkdhf233 · 2015-10-20 09:59:58 +08:00 · 3408 次点击
    这是一个创建于 3332 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我用的这个
    https://www.snip2code.com/Snippet/60260/cisco-anyconnect-ocserv-conf
    Win 客户端能正常工作,但 iOS 的就不行
    甚至同一份路由表,昨天测试的时候 iOS 是几乎全都走本地的,今天又变成了几乎全走服务器

    ocserv 是 0.10.9 ,客户端是 Store 下的 anyconnect 最新版,手机 iPhone6s
    有人遇到和我一样的情况吗?

    PS :用 openssl 生成的 p12 格式的证书导入 iOS 之后移动端不需要密码登陆了,但强迫症还是想问问,那个“此描述文件尚未签名”有办法弄成“已验证”吗?我照 https://wiki.geant.org/display/tcs/Sign+Apple+mobileconfig+files?focusedCommentId=34177052#comment-34177052 签了下试试,结果生成的证书 iOS 认不出来了

    11 条回复    2015-10-27 13:19:40 +08:00
    pH
        1
    pH  
       2015-10-20 10:41:30 +08:00
    尚未签名的问题应该是你的 CA 是自己生成的吧。

    另外这个 route 和 no route ,我看配置里面的注释说明,一直感觉不明不白,不知道是不是英语太渣了。
    wkdhf233
        2
    wkdhf233  
    OP
       2015-10-20 10:51:56 +08:00
    @pH CA 不应该自己生成吗。。?

    这俩应该就是下发到客户端的路由配置, route 采用白名单形式, no-route 采用黑名单形式,不能同时使用
    no-route 我 Win7 上跑的客户端完全接不到,把 route 全注释掉然后加了 no-route 的话,客户端那边依然是按照没有路由表的情况全局走服务器的
    Daniel65536
        3
    Daniel65536  
       2015-10-20 12:41:34 +08:00
    忘掉 anyconnect 吧, iOS 上直接用 surge 多好。
    wkdhf233
        4
    wkdhf233  
    OP
       2015-10-20 13:01:28 +08:00
    @Daniel65536 上架卡住了
    pH
        5
    pH  
       2015-10-21 09:50:04 +08:00
    @wkdhf233 因为你的 CA 是自己生成的,没有任何权威证书信任你,所以系统也不会信任你。如果你的 CA 被某个顶级权威信任(签名)的话,那系统也就会信任了。 好像是个循环信任机制,可能与实际有出入。欢迎指正
    wkdhf233
        6
    wkdhf233  
    OP
       2015-10-21 10:49:50 +08:00
    @pH 所以我要做的不是给 p12 签名,而是给 CA 签名,然后用这个 CA 生成的客户端证书就能被信任了?

    主要是看到别人生成的描述文件好像是绿色的已验证,自己的红着好蛋疼。。
    pH
        7
    pH  
       2015-10-21 18:14:54 +08:00
    @wkdhf233 恩。因为是循环的,如果你自己制作的 ca 被操作系统所认定为安全的 ca 签名了,那所有被你自己制作的 CA 签名过的,该操作系统都会认为合理有效。
    kkxxxxxxx
        8
    kkxxxxxxx  
       2015-10-26 14:49:55 +08:00
    AnyConnect 证书无法分组。。。
    wkdhf233
        9
    wkdhf233  
    OP
       2015-10-26 15:13:12 +08:00
    @kkxxxxxxx 什么意思?使用证书登陆无法读取 route 设置?
    kkxxxxxxx
        10
    kkxxxxxxx  
       2015-10-26 16:19:45 +08:00   ❤️ 1
    @wkdhf233 据说是 Bug ,证书默认全局
    wkdhf233
        11
    wkdhf233  
    OP
       2015-10-27 13:19:40 +08:00
    @kkxxxxxxx 卧槽这 bug 坑爆了。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1138 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 18:53 · PVG 02:53 · LAX 10:53 · JFK 13:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.