返回列表 發帖
本帖最後由 gameplayer 於 2016-3-30 23:47 編輯
你的設定圖..看不出特別的問題令你起唔到個 OpenConnect Server..

只喺要留意應該delete咗routing table  ...
tomleehk 發表於 2016-3-29 21:50



   server 啟動到, 成功 load 左 user-cert.p12 file 到iphone,但連接不成功。未知何處出現問題,有空再試。

CHING,如果轉用 User ID/Password authentication 嘅方法,Android/IOS 是否選 IPSec VPN? 或者用什麼client? 但IPSec VPN必須填 密鑰,請問在server side 邊到設定 密鑰?

Many Thanks!

TOP

本帖最後由 tomleehk 於 2016-3-31 00:22 編輯

你用邊個OpenWRT version先 ?

15.05.1(Released: Mon, 16 Mar 2016) 定喺 15.05 ?

15.05.1(Released: Mon, 16 Mar 2016) 我都發覺用cert connect點整都喺connection唔成功..我偏向相信喺ver 15.05.01個package有D bug, 用cert connect時會顯示connection唔成功,但用ID/Password 做authentication 就OK..

而家繼續用緊 15.05, 用cert 去connect, 因為唔想次次connect都打 Password
IOS, Android, Windows 全部都 so far so good

如果轉用 User ID/Password authentication 嘅方法,Client 用番 CISCO AnyConnect 就得

TOP

本帖最後由 cyruschan112 於 2016-4-4 00:02 編輯

回復 10# tomleehk


   

暫時未長開,唔太清楚是否會hang task
但改完openconnect config一定要reboot router
因為個process會冇左(我知其實reboot openconnet 個task應該都得,但linux真係唔熟)

and 我用user name, password連,未有時間試用cert

速度方面各位未知如何呢?
我部asus 500W,最快都係得5M左右,屋企用HKBN BB100
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

TOP

本帖最後由 cyruschan112 於 2016-4-4 00:07 編輯

回復 16# gameplayer

client 用app ( cisco anyconnect ) IOS/android
openconnect android 都試過,可以連到
人在國內的時候,我是用user name/password的,冇用cert

PS: anyconnect的setting,係冇用Connect with IPsec

TOP

本帖最後由 tomleehk 於 2016-4-4 10:16 編輯
回復  gameplayer

速度方面各位未知如何呢?

cyruschan112 發表於 2016-4-4 00:04


就算外地用手機嚟睇myTV直播我發覺都唔會起格,唔會窒,非常流暢,同本地睇完全無乜分別..如果WIFI signal夠強夠穩定連續睇一,兩個小時都無乜問題..

你router嘅hardware config同我嘅差唔多,速度方面我覺得應該OK.. 如果你想再快D唯有試吓用個再快D嘅router

TOP

本帖最後由 cyruschan112 於 2016-4-4 14:51 編輯

回復 20# tomleehk


未試過用來煲劇
只是一般上下facebook,google察下野only
個speedtest 都是在香港試的,因為國內個home network得個4M
試來冇咩意思

and 唔會再投資太多落router 到啦
除非壞左啦....
但發現D router 都幾耐用,我N年前部asus 520GU依然用得,奈何只有16M ram,跑openwrt超lag....

TOP

本帖最後由 tomleehk 於 2016-4-4 17:34 編輯
回復  tomleehk

但發現D router 都幾耐用,我N年前部asus 520GU依然用得,奈何只有16M ram,跑openwrt超lag....

cyruschan112 發表於 2016-4-4 14:48


我嘅router hardware 好小小, CPU 300MHz, 8M Rom + 32M RAM, gigabit LAN/WAN

OpenWRT 嘅 GUI 都喺有D Lag, 但可以接受,反正config 嘅嘢set好咗試好咗之後好少改..

但如果client 嘅 network 得4Mb , 升級router都唔會改善得好多囉..

Router一般真好耐用,我一次都未試過壞,只喺壞過兩,三次牛..

TOP

你用邊個OpenWRT version先 ?

15.05.1(Released: Mon, 16 Mar 2016) 定喺 15.05 ?

15.05.1(Released: Mo ...
tomleehk 發表於 2016-3-30 23:55



    Ching,我係用OpenWrt Chaos Calmer 15.05。

TOP

本帖最後由 tomleehk 於 2016-4-4 22:40 編輯
Ching,我係用OpenWrt Chaos Calmer 15.05。
gameplayer 發表於 2016-4-4 20:21



如果用緊  Chaos Calmer 15.05, 就要review多一次D設定嘅steps..

或者試吓用 user ID/Password authentication 嘅方法...

TOP

本帖最後由 tomleehk 於 2016-11-9 00:13 編輯

更新 : 09-Nov-2016

參考原文 : http://blog.ltns.info/linux/open ... client_smart_proxy/

2016.09.16 更新
2016.10.24 更新
章節



成功更新至OpenWRT ver.15.05.1及使用證書認證去行 Open Connect
1) 無重新create 任何 pem, p12 file, 只喺重用15.05 work緊嗰一批files
2) 編輯啟動腳本 /etc/init.d/dnsmasq,註釋掉或刪掉對應的如下一行
...
        append_bool "$cfg" proxydnssec "--proxy-dnssec"
        # append_bool "$cfg" localservice "--local-service"
        append_bool "$cfg" quietdhcp "--quiet-dhcp"
...
3) 改用新版本的 ocserv配置文件
  1. auth = "certificate"
  2. listen-host-is-dyndns = true
  3. max-clients = 16
  4. max-same-clients = 10
  5. tcp-port = 443
  6. udp-port = 443
  7. keepalive = 32400
  8. dpd = 240
  9. mobile-dpd = 1800
  10. try-mtu-discovery = true
  11. server-cert = /etc/ocserv/server-cert.pem
  12. server-key = /etc/ocserv/server-key.pem
  13. ca-cert = /etc/ocserv/ca-cert.pem
  14. cert-user-oid = 2.5.4.3
  15. #cert-group-oid = 2.5.4.11
  16. tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"
  17. auth-timeout = 40
  18. mobile-idle-timeout
  19. cookie-timeout = 86400000
  20. rekey-time = 86400000
  21. rekey-method = ssl
  22. #connect-script = /etc/ocserv/connect-script
  23. #disconnect-script = /etc/ocserv/connect-script
  24. use-utmp = true
  25. use-occtl = true
  26. pid-file = /var/run/ocserv.pid
  27. socket-file = /var/run/ocserv-socket
  28. run-as-user = ocserv
  29. run-as-group = ocserv
  30. net-priority = 5
  31. cgroup = "cpuset,cpu:test"
  32. device = vpns
  33. default-domain = <your vpn server URL, e.g. vpn.dyndns.org>
  34. ipv4-network = 192.168.60.1
  35. ipv4-netmask = 255.255.255.0
  36. dns = 8.8.8.8
  37. ping-leases = false
  38. output-buffer = 10
  39. #route = ip
  40. route-add-cmd = "ip route add %{R} dev %{D}"
  41. route-del-cmd = "ip route delete %{R} dev %{D}"
  42. cisco-client-compat =true
  43. custom-header = "X-DTLS-MTU: 1200"
  44. custom-header = "X-CSTP-MTU: 1200"
複製代碼
無用connect-script, disconnect-script

4) 修改 /etc/init.d/ocserv
.....
     SERVICE_USE_PID=1
     START=97
     setup_config() {
.....

重新 enable ocserv

TOP

本帖最後由 yiucsw 於 2019-12-30 01:21 編輯

發現 reboot 後,ocserv 不能startup.
要加: (sleep 11; /etc/init.d/ocserv start)&
https://cndaqiang.github.io/2017/09/27/openwrt-ocserv/

System log error:
daemon.info ocserv[2670]: sec-mod: reading supplemental config from files
daemon.info ocserv[2670]: sec-mod: sec-mod initialized (socket: /var/run/ocserv-socket.4955d7de)

最終加多一句 在 system-startup-local startup.
(sleep 30; ocserv )&

TOP

本帖最後由 tomleehk 於 2019-12-30 00:48 編輯

之前d舊openwrt vesion 印象中未試過有開機startup問題
近來version 18.06.1  至 18.06.5 都沒有遇過開機startup 問題, 無加過sleep..
/etc/init.d/ocserv enable <<enter>>
就喺去enable 個startup
我一直有用luci-app-ocserv, luci 有個enable option, 不肯定有無關係

TOP

本帖最後由 yiucsw 於 2019-12-30 11:35 編輯

最近启动V2ray server, 所以要起openconnect server,有问题時可以用openconnect client. 想問能否remote access openconnect client's router(安裝在openwrt-openconnect client) 來解决问题。
在 /etc/init.d/ocserv 内 start_service 加了 Sleep 20 没有帮助。
在luci->system-startup-local startup, 加了 (sleep 11; /etc/init.d/ocserv start)&  看到2 process, 但不能access server,
最终,在luci->system-startup-local startup 加了 (sleep 30; ocserv )& 现在能access openconnect server.
我想 access 國內的 openwrt-openconnect client, 是不是可以的?
有沒有 openwrt firewall 能參考以下,我嘗試加firewall zone, interface 不能啟動。

現在國內用聯通的SIM 卡上網,是否有真IP?

TOP

本帖最後由 tomleehk 於 2019-12-30 13:40 編輯

ocserv server 是 server, client 是 client, client 是不能被remote access
解決方法喺router同時安裝client + server, 你remote access ocserv server, 就可以連到router, 間接config client 部分

用SIM 卡上網,就算見到有真IP, 只代表機樓/發射站, 不代表你手機

TOP

明白,比較麻煩,沒有國內Public IP, 不能安裝 Openconnect server.
現在在iphone/ipad 加 CISCO anyconnect.
For 新版Ipad anyconnect client 加certifcation.
ipad 打開 email, 長按 .p12 attachment, share to anyconnect.
在ios section.
https://www.linuxbabe.com/ubuntu ... t-vpn-server-ocserv

TOP

返回列表