Cisco AnyConnect 证书认证+Launcher 一键连接完整教程
humiaozuzu humiaozuzu 2015-03-24 20:29:36 +08:00 39337 次点击这是一个创建于 3922 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 2015-03-24 23:55:10 +08:00
新版的 ocserv 支持了 no-route,刚刚更新了下路由表,实现了国内外动态翻墙。
另外,第二步中的 iPhone Configuration Utility 配置,对于企业来说会比较方便,如果是个人,建议自己导入证书,输入服务器的 ip 就行了。
另外,第二步中的 iPhone Configuration Utility 配置,对于企业来说会比较方便,如果是个人,建议自己导入证书,输入服务器的 ip 就行了。
第 2 条附言 2015-04-15 16:28:48 +08:00
@constance 刚刚更新了 ip 段,Instagram 可以正常访问了
113 条回复 2015-07-08 12:46:49 +08:00
 | 1 Daniel65536 2015-03-24 20:38:40 +08:00 via iPad 部署配置文件没必要用那玩意。 直接在Anyconnect for iOS内输入p12文件的网址就够了。 |
 | 2 humiaozuzu OP @Daniel65536 公司人多,点一下就安装方便些 |
 | 3 icanfork 2015-03-24 20:51:00 +08:00 人工置顶 曾经跟我一起LOL的战友! |
| 4 Daniel65536 2015-03-24 21:30:02 +08:00 via iPad @humiaozuzu 既然如此,那么为什么要: [配置 Cisco AnyConnect,选对vpn类型,填写服务器地址,认证方式为证书,证书文件选中刚刚导入的。] 而不用: anyconnect://create?name=Example%201&host=vpn.example.com&usecert=true&certcommOnname=certname 呢? |
 | 6 kacong 2015-03-24 21:30:51 +08:00 谢谢,安装这个需要开哪些firewall端口和服务? |
| 7 Daniel65536 2015-03-24 21:35:18 +08:00 via iPhone 另外,仅仅是安装证书的话,用URL scheme可能更简单: anyconnect://import/?type=pkcs12&uri=http%3A%2F%2Fexample.com%2FCertName.p12 |
 | 8 cloverstd 2015-03-24 21:36:09 +08:00  1 Ubuntu 12.04 报错 fatal error: 'readline.h' file not found 缺少依赖 sudo apt-get install libreadline-dev 安装后即可 |
| 10 humiaozuzu OP @Daniel65536 大部分情况下,公司的人还有朋友都没买 Launcher,所以对他们来说,进 App 点一下开启 vpn 最方便 |
 | 11 isKira 2015-03-24 21:49:54 +08:00 人工置顶拍拍手 |
 | 12 cloudhyl 2015-03-24 21:54:32 +08:00 这个东西好像可以下发路由表给客户端实现智能代理 请问教程里能实现这功能嘛 |
| 13 humiaozuzu OP @cloudhyl 路由表已经有了 |
| 14 humiaozuzu OP @cloverstd 不过你说的挺对,对这里的大部分人来说,还是直接填方便些。 |
 | 15 lsmgeb89 2015-03-24 22:01:17 +08:00 赞一个,前两天昨天还在弄 Launch center pro。 这个部署方式,客户端需要输密码吗?还是用证书验证的? |
| 16 humiaozuzu OP @lsmgeb89 题目都说了是证书啊 =。= 点一下就行了 |
 | 17 cloudhyl 2015-03-24 22:03:46 +08:00 @humiaozuzu 好的 感谢 回头试试看 |
| 18 lsmgeb89 2015-03-24 22:05:25 +08:00 服务器部署还是蛮简单的,我在想 Anyconnect 能不能国内用个跳板机中转呢? 现在电信,ss 只能国内跳板连美帝速度爽,直接连美帝简直大概就几 K 的速度。 但我又不想越狱,ss 在 iOS 上基本残废,很不爽。 |
 | 19 duadua 2015-03-24 23:12:54 +08:00 via iPhone Many thanks! |
 | 20 andyliu 2015-03-24 23:38:44 +08:00 执行这句 LD_LIBRARY_PATH=/opt/local/lib ./sbin/ocserv -c etc/config -f -d 1 提示 bash: ./sbin/ocserv: No such file or directory |
 | 21 phoenixlzx 2015-03-25 00:17:15 +08:00 via Android 不错的样子... |
| 22 humiaozuzu OP @belin520 一局都不陪我玩 |
 | 24 Quaintjade 2015-03-25 00:37:02 +08:00 ocserv 0.10.0的Changelog不是说不支持证书登陆了吗,为什么还能用? Support for certificate[optional] authentication has been removed |
 | 25 Yien 2015-03-25 00:54:02 +08:00 via Android make thanks |
 | 26 66CCFF 2015-03-25 01:13:12 +08:00 赞。 |
| 27 Daniel65536 2015-03-25 01:18:32 +08:00 via iPhone @humiaozuzu URL scheme不需要launcher,事实上,你直接把URL scheme写在邮件正文或者是网页上就好。 这玩意就是一个链接,点一下以链接形式存在的URL scheme就能完成创建vpn并导入证书,比你现在的方案简单太多了。 |
| 28 Daniel65536 2015-03-25 01:20:22 +08:00 via iPhone 1 @Quaintjade 是指移除了可选证书登录,证书登录不再可以被设定为可选的,只能被设定为必选的。 |
 | 29 liyangyijie 2015-03-25 07:09:14 +08:00 via Android 1 @lsmgeb89 haproxy ocserv注释udp端口 连ss一块中转了 |
 | 30 pH 2015-03-25 08:57:07 +08:00 借问楼主一句,这样配置了VPN之后和ss能够共存么? |
| 31 humiaozuzu OP @pH 暂时没试过 =。= |
| 32 pH 2015-03-25 10:01:53 +08:00 @humiaozuzu hell No=-= 我被这个整疯了,基本所有的VPN都要配置转发表,我就怕这个一弄,ss就会出问题 |
 | 33 coolicer 2015-03-25 10:25:12 +08:00 我也是配置了vpn和ss,这个会有影响吗? |
| 34 humiaozuzu OP @coolicer iOS 下 ss 不是只能 ss 这个 app 里面用吗? |
 | 35 lekai63 2015-03-25 10:40:25 +08:00 mark 下 |
 | 36 walkingway 2015-03-25 10:49:10 +08:00 存着,好不容易搞定了搬瓦工的ss和ipsec,以后有需要在折腾 |
 | 37 qianlicao353 2015-03-25 10:51:11 +08:00 楼主,有路由表吗,可否共享 |
 | 38 efin 2015-03-25 10:59:03 +08:00 感谢LZ,这两天正在搭呢。 |
| 39 coolicer 2015-03-25 11:14:18 +08:00 @humiaozuzu 我没有在ios用 |
| 40 qianlicao353 2015-03-25 11:17:15 +08:00 @humiaozuzu 楼主,有路由表吗,可否共享 |
 | 41 lliioogg 2015-03-25 11:29:28 +08:00 我其实比较好奇有没有返回主屏幕的url |
| 42 humiaozuzu OP @qianlicao353 有的 文章给了github地址 |
 | 43 laincat 2015-03-25 11:35:34 +08:00 这个给力!留个脚印 |
 | 44 l0wkey 2015-03-25 12:42:44 +08:00 via Android @humiaozuzu 同样遇到了20楼的问题.. |
| 45 humiaozuzu OP |
| 46 l0wkey 2015-03-25 13:18:25 +08:00 service ovserv start 会报 ovserv: unrecognized service 另外mv config/config /opt/ocserv/etc/ 是不是应该改为 mv config/ /opt/ocserv/etc/ |
 | 47 Gzxhwq 2015-03-25 14:30:16 +08:00 @humiaozuzu 不修改源码的话,只能推送96条路由表,所以你的路由表最后三条是到不了客户端那的,再精简一下吧 |
| 48 humiaozuzu OP @Gzxhwq 优化了半天,结果还多了一条。。。 |
 | 49 thidnh 2015-03-25 15:29:21 +08:00 请问iOS端需要安装anyconnect客户端吗? |
 | 50 idigital 2015-03-25 15:32:49 +08:00 no-route有国内服务器IP列表否 |
| 52 humiaozuzu OP 1 @idigital 配置文件里面的就是一份~ |
| 53 thidnh 2015-03-25 15:47:00 +08:00 @humiaozuzu 请教,我制作了配置文件导入了,还需要安装anyconnect客户端吗? |
 | 54 lzk800 2015-03-25 15:55:56 +08:00 原来Launcher已经回归了啊,果断马上去下载一个 ^_^ |
 | 55 lex 2015-03-25 16:02:26 +08:00 |
| 57 Daniel65536 2015-03-25 18:13:49 +08:00 @humiaozuzu 没必要这么优化。 欢迎使用这个简单的patch: sed -i "s/#define MAX_CONFIG_ENTRIES 96/#define MAX_CONFIG_ENTRIES 200/g" ./src/vpn.h 可以把96条的限制扩展到200条(客户端上限200条)。 |
| 58 humiaozuzu OP @Daniel65536 thx,我自己的修改了。 问一个问题,你那边 no-route 和 route 可以同时生效吗?我这里测试不行 |
| 59 Daniel65536 2015-03-25 19:41:28 +08:00 @humiaozuzu 我的测试也是不行。 |
 | 60 agassi_yzh 2015-03-25 22:03:49 +08:00 用docker部署会快很多 |
| 61 lzk800 2015-03-26 07:33:47 +08:00 @humiaozuzu 请教,你的国旗图标哪来的?我也想弄成这样 |
| 62 humiaozuzu OP @lzk800 Google 图片直接搜的,选几个好看的就行了。。。 |
| 63 lzk800 2015-03-26 09:08:31 +08:00 @humiaozuzu 你这个是iOS风格的吧,关键词是什么啊……多谢 |
| 64 humiaozuzu OP 1 @lzk800 japan icon/singapore icon ... |
 | 65 qsmoon 2015-03-26 09:14:48 +08:00 昨天试了下,服务器部署好了。我看443端口listening, windows7上anyconnect链接时,提示证书not valid,然后添加证书,然后就提示链接失败。。。 怎么debug啊 |
 | 66 kkxxxxxxx 2015-03-26 09:22:07 +08:00 @humiaozuzu 路由表贴出来参考下 |
| 67 humiaozuzu OP @kkxxxxxxx 第一篇文章给了 github 地址,里面有~ |
| 68 idigital 2015-03-26 09:38:38 +08:00 @humiaozuzu 我想加入网易云音乐的IP,但是貌似这个no-route有数量限制呢 |
| 69 idigital 2015-03-26 09:40:00 +08:00 @humiaozuzu 能否注释下哪些网段设计哪些网站呢?比如我想配置QQ,微博和网易云音乐,谢谢了 |
 | 70 wjchen 2015-03-26 10:25:18 +08:00 一直用这个: https://g.owind.com/connect-anyconnect-in-today-widge/ Launcher要设置图标太麻烦了,各种乱七八糟的图标摆在一起丑死。。。 |
| 71 humiaozuzu OP |
 | 72 diPJN9FP1s5Y720V 2015-03-26 11:02:40 +08:00 @humiaozuzu 楼主 VPS 已经有个HTTPS网站 443端口被占用 能改成其他端口吗、、、 |
| 73 humiaozuzu OP @andi 记得配置里面是可以修改端口的,可以自己试试 |
 | 74 RainFlying 2015-03-26 11:44:30 +08:00 我是在 Android 用 Tasker,然后在连上数据网络或者 WIFI 的时候自动打开 AnyConnect 然后自动输入账号密码再连接的。 |
| 75 diPJN9FP1s5Y720V 2015-03-26 14:49:25 +08:00 root@host:/opt/ocserv# LD_LIBRARY_PATH=/opt/local/lib ./sbin/ocserv -c etc/config -f -d 1 Setting 'certificate' as primary authentication method listening (TCP) on 0.0.0.0:4430... listening (UDP) on 0.0.0.0:4430... ocserv[2873]: main: initialized ocserv 0.10.1 ocserv[2874]: sec-mod: sec-mod initialized (socket: /var/run/ocserv-socket.2873) ocserv[2873]: main: processed 1 CA certificate(s) 这是链接成功么 但是执行service ocserv start 提示 ocserv: unrecognized service |
| 76 humiaozuzu OP @andi 你的 service 没找到,说明 upstart 脚本并没有放到对应的目录 |
| 77 diPJN9FP1s5Y720V 2015-03-26 15:13:33 +08:00 @humiaozuzu 感谢 搞定! |
 | 78 Totoria 2015-03-28 21:37:04 +08:00 make: *** No targets specified and no makefile found. Stop. make: *** No rule to make target `install'. Stop. |
| 79 Daniel65536 2015-03-28 23:15:10 +08:00 2 @idigital # Tencent 59.78.208.0/23 59.78.212.0/24 103.7.28.0/22 112.90.136.0/22 115.159.0.0/16 116.57.183.0/24 118.89.0.0/16 118.126.64.0/18 119.27.160.0/19 119.29.0.0/16 120.95.74.0/24 121.51.0.0/16 182.254.0.0/20 182.254.16.0/22 182.254.24.0/20 182.254.40.0/21 182.254.72.0/19 182.254.104.0/23 182.254.106.0/24 182.254.108.0/23 182.254.112.0/23 182.254.116.0/24 182.254.118.0/24 182.254.128.0/18 182.254.192.0/19 182.254.224.0/20 182.254.240.0/21 182.254.248.0/24 203.195.128.0/17 203.205.128.0/17 210.73.160.0/19 210.74.35.0/22 210.76.64.0/19 211.80.158.0/23 211.152.144.0/20 211.159.96.0/19 222.202.96.0/24 222.213.0.0/24 #NetEase 106.2.32.0/18 106.2.96.0/19 114.113.196.0/21 115.236.112.0/20 115.238.0.0/20 121.195.176.0/22 123.58.160.0/19 211.152.17.0/24 223.252.192.0/19 |
 | 80 constance 2015-03-29 10:48:20 +08:00 @humiaozuzu instagram有部分图片不能显示 = =。 |
| 81 humiaozuzu OP @constance 是的~~ 暂时没发现解决办法 |
| 82 constance 2015-03-29 11:12:46 +08:00 via iPhone @humiaozuzu 之前结合了几个路由表也还是没能解决 |
| 83 humiaozuzu OP @constance 可以自己折腾二分法测试下 |
| 84 constance 2015-03-29 11:36:58 +08:00 via iPhone @humiaozuzu 好的明白。 |
| 85 humiaozuzu OP @constance 试出来后分享下~~ :) |
| 86 constance 2015-03-29 11:58:13 +08:00 @humiaozuzu QAQ 先学习一下 |
| 87 constance 2015-03-29 13:16:31 +08:00 @humiaozuzu 刚刚换成了旧金山的服务器= =。居然好了= =。 |
| 88 66CCFF 2015-03-30 00:40:22 +08:00 和ufw不兼容吗? 我allow了 ocserv 监听的端口。。不过似乎面对的问题是一旦ufw enable就出现能拨上但无法访问公网的情况。 |
| 89 humiaozuzu OP @66CCFF iptable 的转发~~~ |
| 90 66CCFF 2015-03-30 18:36:12 +08:00 via iPhone @humiaozuzu 嗯,我想了下应该是ufw把nat规则刷掉了 |
| 91 kkxxxxxxx 2015-03-31 10:44:05 +08:00 @Daniel65536 请问这条path要怎么使用 |
| 92 idigital 2015-03-31 13:57:38 +08:00 @Daniel65536 哇哦,这个超赞 |
 | 93 ghovik 2015-03-31 19:02:42 +08:00 目前我安装的是0.9x版本的ocserv,要用上0.10x的话,需要删除之前的版本吗? 如果需要的话怎么操作呢? |
| 94 ghovik 2015-03-31 21:12:20 +08:00 感谢分享! 执行`LD_LIBRARY_PATH=/opt/local/lib ./sbin/ocserv -c etc/config -f -d 1`的时候报错: `ocserv error 2 (No such file or directory) calling stat for 'etc/config'` 请问这个/etc/config是什么文件/文件夹?里面放什么内容? |
| 95 kkxxxxxxx 2015-04-01 10:30:01 +08:00 @Daniel65536 这种格式也可以么,不用转换么 |
 | 96 zhouterrence 2015-04-06 18:01:50 +08:00 提取证书到本地时被time out,求解决办法 scp 8.8.8.8:/opt/ocserv/ca/user.p12 . |
| 97 humiaozuzu OP @zhouterrence 8.8.8.8 很明显不是你服务器 ip 啊。。。 |
| 98 zhouterrence 2015-04-06 19:07:34 +08:00 @humiaozuzu 谢谢 我把8.8.8.8换成了自己服务器ip后运行,请问证书被储存在哪,没有找到 |
| 99 humiaozuzu OP @zhouterrence 当前目录 |
| 100 zhouterrence 2015-04-06 19:43:49 +08:00 mv config/config /opt/ocserv/etc/ 会报错 Not a directory |
Select Language