vps 上搭建 ocserv 并使用证书验证 anyconnect 客户端使用

经过这几周的折腾，我已经可以在digital ocean上搭建ocserv并在iPhone上使用证书登录，不需要再输入烦人的用户名/密码验证，具体操作看以下两篇教程

1 http://imkevin.me/post/80157872840/anyconnect-iphone 阅读如何编译搭建ocserv，如何打开tcp转发以及iptable配置

2 http://bao3.blogspot.com/2014/10/ocserv-085.html 参考如何配置ocserv 配置文件路由列表以及证书生成使用

注意：
一：使用教程二的版本 ocserv0.85/0.86皆可，教程一版本过老

踩过的坑：
教程二中配置文件ocserv.conf中我建议是不需要使用
user-profile = /usr/local/etc/ocserv/profile.xml，
我之前因为这个出现过证书无法匹配的莫名bug。

如果你之前有配置过这项，不管哪个平台，请先卸载anyconnect客户端并重装

bitinn

2014-10-19 01:15:35 +08:00

@bitinn 自我解答，server-cert生成的时候template必须要写对cn(公用名)，如果是ip地址的要写ip，否则无法在第一次连接时导入。

thank243

2014-11-08 08:09:31 +08:00

@bitinn 我用certtool生成的P12直接就是0字节

lj0014

2014-11-19 13:15:33 +08:00

@windblueos 请教下教程二的.tmpl文件里的域名一定要是有效的吗，我现在直接用教程提供的文件里面的域名，然后客户端连接时报错如下：
Failed to get configuration from secure gateway. Contact your system administrator.

lj0014

2014-11-19 14:02:24 +08:00

@lj0014 将.tmpl文件修改成我的有效域名后，windows可以用证书登录了，但是android手机依然不行，提示：Connection attempt has failed.

fzss

2014-11-24 09:35:20 +08:00

你好这个搭好之后，有新版本出来了，应该怎么更新啊？

fzss

2014-11-24 10:09:42 +08:00

@fzss 直接装新版本就行了

dynfeisu

2014-11-27 20:57:09 +08:00

我想请问一下PAM+FREERADIUS 怎么设置？

网上教程看了很多都弄不好

dynfeisu

2014-11-27 22:52:57 +08:00

Message from syslogd@localhost at Nov 27 22:49:40 ...
ocserv[2621]:PAM-auth pam_auth_pass: Authentication service cannot retrieve authentication info

/etc/pam.d/ocserv：

# PAM Configuration for OpenConnect Server
# Created by tony, 11/13/13
# This is designed to work with RADIUS PAM Module
auth required /lib/security/pam_radius_auth.so

tankren

2014-12-20 15:10:49 +08:00

证书不可信的问题怎么解决？本地自签名，还是根本无解?

xmvagrant

2014-12-23 17:05:11 +08:00

@tankren 导入服务器证书就好。

Yien

2014-12-25 11:54:08 +08:00

我用的是商业的通配证书，请问如何生成客户端证书？

kxjhlele

2014-12-27 13:52:42 +08:00

@Yien 商业证书，客户端不需要设置，直接就可以连接上

kxjhlele

2014-12-27 16:14:29 +08:00

@Yien PS 要生成客户端证书，必须要私钥，这个是不可能给你的，
root证书，rootkey，客户端key，客户端请求文件这4个缺一不可，

Yien

2014-12-27 16:26:29 +08:00

@kxjhlele 尝试了一下，不成功。是不是需要修改什么设置？

hrbwaxdoll

2014-12-28 09:17:31 +08:00

我觉得你们需要这个，在centos7的基础上：

https://www.stunnel.info/ocserv-cisco-anyconnect-兼容服务端-一键安装脚本-for-centos-7/

hrbwaxdoll

2014-12-28 09:18:36 +08:00

先搞通了，再搞定制化，这个是默认密码登录，我正在修改具体的证书登录的方式，看贴学习ing...

hrbwaxdoll

2014-12-28 10:01:14 +08:00

Job for ocserv.service failed. See 'systemctl status ocserv.service' and 'journalctl -xn' for details

我按照教程，启动后提示上面的错误。。。。郁闷啊。

hrbwaxdoll

2014-12-28 10:04:48 +08:00

ocserv.service - OpenConnect SSL VPN server
Loaded: loaded (/usr/lib/systemd/system/ocserv.service; enabled)
Active: failed (Result: exit-code) since 六 2014-12-27 21:01:39 EST; 1min 20s ago
Docs: man:ocserv(8)
Process: 28584 ExecStart=/usr/local/sbin/ocserv --pid-file /var/run/ocserv.pid --config /usr/local/etc/ocserv/ocserv.conf (code=exited, status=1/FAILURE)
Main PID: 27981 (code=exited, status=0/SUCCESS)

12月 27 21:01:39 myhost systemd[1]: Starting OpenConnect SSL VPN server...
12月 27 21:01:39 myhost ocserv[28584]: The option 'listen-clear-file' cannot be combined with 'aut...ate'
12月 27 21:01:39 myhost systemd[1]: ocserv.service: control process exited, code=exited status=1
12月 27 21:01:39 myhost systemd[1]: Failed to start OpenConnect SSL VPN server.
12月 27 21:01:39 myhost systemd[1]: Unit ocserv.service entered failed state.

hrbwaxdoll

2014-12-28 10:24:16 +08:00

解决了，注释了 listen-clear-file

不过客户端连接的时候是提示：
VPN客户端未通建立连接~

lesswest

2014-12-30 15:32:11 +08:00

@bitinn cn我设置了我的VPS的IP地址也不好用，改成localhost或者127.0.0.1或者0.0.0.0也不好用，是什么原因啊，求帮助。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/138597

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.