尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.
halczy · halczy · 2015-01-03 09:41:29 +08:00 · 92408 次点击这是一个创建于 3601 天前的主题,其中的信息可能已经有所发展或是发生改变。
优化了一下配置文件. 自己测试从原来1Mbps不到的速度提升到5Mbps左右. 通过iperf测试 电信到服务器的单线带宽是应该有20Mbps左右. 不知道大家有用ocserv架的AnyConnect使用情况是怎么样呢?
欢迎大家测试一下, 看看速度如何.
服务器地址: omicronpersei8.ml
帐号: v2ex
密码: v2ex
高级选项 -> 网络漫游: 打开 (打开后可以自由切换网络不断线, 一天內断网自动重连)
第 1 条附言 · 2015-01-03 16:08:47 +08:00
电信出口又开始大范围丢包了, 所以现在会很慢. 大家可以改天再试. 帐号我会尽量保持开通, 除非是有人故意捣乱.
第 2 条附言 · 2015-05-19 18:14:14 +08:00
因原域名故障, 服务器地址改为: any.omicronplus.com
第 3 条附言 · 2022-03-23 08:51:17 +08:00
因为先前服务器下发配置有误,部分客户端获取了错误的配置后,出现了无法访问等报错。如果出现了这个问题,可以试着删除原有的配置,再重新连接服务器。
配置文件地址
Windows:
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Profile
Mac OS X:
/opt/cisco/anyconnect/profile
Linux:
/opt/cisco/anyconnect/profile
配置文件地址
Windows:
%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Profile
Mac OS X:
/opt/cisco/anyconnect/profile
Linux:
/opt/cisco/anyconnect/profile
第 4 条附言 · 2022-11-10 14:44:38 +08:00
22 年 10 月左右所有服务器的 IPv4 都被封了,即便更换端口也会几分钟内封掉。这个也不清楚什么时候能够放出来。目前 IPv6 还是能够正常链接的。例如国内三大运营商的手机网络默认都会配有 IPv6 ,在手机上可以直接使用。家庭网络的话,注意路由器开放 IPv6 下发。
256 条回复 • 2023-08-13 16:17:31 +08:00
 |
102
brobird 2016-04-21 20:11:19 +08:00
@halczy 我自己搭的服务器有一个非常诡异的事情, http://www.bbc.com/zhongwen/simp 打不开!非常诡异!有的时候连带 www.bbc.com 一起跪……安卓和电脑上的 ss 连没问题,所以应该是 anyconnect 的锅了,您帮我想想可能还有哪里出了问题?
|
 |
104
halczy OP |
|
105
brobird 2016-04-22 23:08:26 +08:00
@halczy 找到原因了, 103.0.0.0/255.0.0.0 这一条把 BBC 的一个 CDN 包括进去了,而服务器默认解析的就是这个,另外安卓端确实用不了路由表
|
 |
107
okudayukiko0 2016-04-24 18:08:09 +08:00 via Android
@halczy 試了你的方法 也就是調整 sysctl 和 ifconfig 參數
發現調整後 ocserv 快了一些 但如果 ocserv 的 udp-port 沒有註釋掉 這麼做反而可能更慢。 我的是新加坡的 VPS , HTTP 下載 File 能有 300K/s 左右。 網上很多文章都找過了,改 ocserv.conf 改了 N 次,但是速度都只有 50K/s 左右。 |
|
108
okudayukiko0 2016-04-24 18:10:32 +08:00 via Android
Output buffer 都設得比較大了
Net pri 那行設為 5 |
|
109
okudayukiko0 2016-04-24 18:29:54 +08:00 via Android
要是使用 SS 就有 420K/s
用 OCSERV 只有 100K/s Ocserv 速度緩慢 |
|
110
okudayukiko0 2016-04-24 18:32:44 +08:00 via Android
目前 ocserv 能有 175K/s
反正 ocserv 速度緩慢 應該是 ocserv 自身的問題 不知道是哪兒的問題。 |
|
111
okudayukiko0 2016-04-24 18:41:53 +08:00 via Android
不使用 sysctl 優化的話 ocserv 只有 50K/s
|
 |
112
wy7854998 2016-04-27 12:27:56 +08:00
使用 anyconnect 经常会出现掉线的情况,具体是 vpn 显示已连接,但客户端到服务器不通,无法上网,观察上下行数据,会发现只有上行没有下行,如果不管它就一直这样了。重新连接一次又恢复正常,但过段时间还是上不了网,只有上行没有下行。请问知道如何做调整吗?请教下。谢谢
|
|
113
halczy OP @okudayukiko0 如果本身延迟高的话,用 OCSERV 的损耗会比较大。特别是不开 UDP 的情况下。可以试试 Windows 版的 AnyConnect 看看是性能问题还是网络问题。
@wy7854998 检查一下 #idle-timeout = 1200 #mobile-idle-timeout = 2400 这些注释掉没有。 |
|
115
halczy OP  1
@wy7854998
你说的症状比较像断线重新认证这个环节出问题了。你试试连到我提供的那个服务,先排除是否你本地网络有问题。 或者试试以下配置 keepalive = 32400 dpd = 30 mobile-dpd = 90 cookie-timeout = 86400 persistent-cookies = true deny-roaming = false auth-timeout = 180 predictable-ips = false |
|
116
wy7854998 2016-04-27 20:50:37 +08:00
好 我先按你方法修改调整测试下 谢谢你的帮忙 晚点我在过来反馈。
|
 |
117
jsteward 2016-06-29 21:56:44 +08:00
@halczy 我用 conoha 搭的 ocserv ,没改 buffer ,用站长工具测得延迟和你的差不多,可是我挂了 AnyConnect 后基本要等四秒正在链接才能打开谷歌,你的只要 2 秒不到,为啥呢。。
|
|
118
jsteward 2016-06-29 21:58:39 +08:00
@ halczy 最严重的时候有 10 秒左右才能变成加载而不 是连接。。
|
|
119
halczy OP @jsteward 检查一下 UDP 端口有没有设定好。 UDP 连不上会跳回默认的 TCP , TCP 效率很低,响应慢。
|
|
120
jsteward 2016-06-30 00:19:32 +08:00
@halczy tcp 和 udp 用的是一样的,是啥我就不说了(难道还有特定的端口效率低下。。) 还有我客户端上 Transport protocol 是 DTLS
|
|
121
jsteward 2016-06-30 00:31:38 +08:00
@halczy 我现在非常尴尬,打开谷歌前十秒连 SSL 证书都拉不回来 证书拉回来了(正在连接的阶段过去了)基本网页秒开 ( youtube 至少 360p 能随意拖动进度条 720p 沒试过(客户端不支持),只是开始视频之前要等很久)
|
|
129
jsteward 2016-06-30 07:19:00 +08:00
@halczy 我在 ipleak.net 上看,我的买的 IKEv2 有一大坨 DNS (美国的 vpn ,美国的 dns ),可是我自己搭的 ocserv 虽然配置里填了 4 条但是 ipleak 上还是只有第一条。。估计我的问题很可能和 DNS 有关
|
|
131
jsteward 2016-06-30 15:06:59 +08:00
@halczy 一般不超过 200 你的 DNS 是怎么配置的啊
以下是 ipleak.net 的信息 我的服务器: http://imgur.com/QJsD4ve 你的服务器: http://imgur.com/0rulSFU 一直想搞一个用本地 dnsmasq-china-list 的,却总是解析不了 |
|
132
halczy OP |
|
135
jsteward 2016-06-30 18:28:40 +08:00
@halczy DNS 还是不行 我架了个 nginx 用来测试 不挂 vpn 秒开,说明网络没问题。路由表绕过了国内 ip (百度等) 连接上之后看到分发路由表。然而挂了 VPN 还是打不开百度(解析超时)
|
|
136
halczy OP |
|
139
jsteward 2016-06-30 19:07:34 +08:00
|
|
141
jsteward 2016-06-30 19:23:27 +08:00
@halczy 国内( http://tools.cloudxns.net/index.php/Index/Diag )走的电信(在安徽,可是我坐标帝都),国外( ipleak.net )是一堆新加坡和美国
|
 |
142
digizer0 2016-09-05 16:52:31 +08:00
@halczy 楼主你好。本人也在尝试搭一台 ocserv 服务器,但是从手机上怎么也连不上,而连你的 any.omicronplus.com 就没问题,所以斗胆问一下,能不能把你的配置文件全部公开一下呢?(当然如有敏感信息尽请随意替换)
我的情况是这样的: ocserv 0.11.4 Macosx 客户端链接正常,但是安卓的 openconnect 以及 cisco anyconnect 都无法工作,个人排错结论是连接能连上,但是客户端 route 不会更新(我用的 default route ,所有 route=项目注释掉),所以安卓只能访问 ocserv 本身,其他地址一律无法通信,很奇怪。不知是不是客户端的 bug ,但是连你的服务器又能正常工作,所以希望能看一下我的配置和你的到底哪里不同。多谢! |
|
143
halczy OP @digizer0 https://bitbucket.org/snippets/halczy/aopxK
服务器运行的版本是: ocserv 0.11.2 Compiled with seccomp, tcp-wrappers, oath, radius, gssapi, PAM, PKCS#11, AnyConnect, GnuTLS version: 3.2.11 |
 |
145
a154415433 2016-09-07 21:22:28 +08:00 via Android
请问可以不用自签#ca-cert = /etc/ocserv/ca-cert.pem ,单独用账户登录?我现在路由装 openconnect 调试不好,可能是证书不对
|
|
146
a154415433 2016-09-07 21:23:33 +08:00 via Android
@halczy Reply 145
a154415433 刚刚 via Android 请问可以不用自签#ca-cert = /etc/ocserv/ca-cert.pem ,单独用账户登录?我现在路由装 openconnect 调试不好,可能是证书不对 |
|
147
halczy OP @a154415433 可以的
配置文件里启用这一项 auth = "plain[passwd=/etc/ocserv/ocpasswd]" 然后命令行下 sudo ocpasswd -c /etc/ocserv/ocpasswd 用户名 |
|
148
a154415433 2016-09-08 05:27:49 +08:00 via Android
@halczy 谢谢~我一直用证书和密码登录~因为是自签证书每次手机访问都是不安全服务器的提示~搞得路由都上不去谢谢…我搞好贴一篇教程在你下面~
|
|
149
a154415433 2016-09-08 07:22:23 +08:00 via Android
路由还是不能用 openconnect 放弃~
|
 |
150
foxking 2016-09-21 07:15:58 +08:00
@halczy 您提供的那个地址 any.omicronplus.com 是不是不能用了,连接可以获得内网地址,但是没有出去的路由。 不过还是谢谢您之前提供过的 ss 免费服务。
|
 |
153
tys 2016-10-09 17:25:41 +08:00
很奇怪,我在 vps 上搭建了 ocserv 服务器,客户端可以连上服务器,就是没流量产生,打不开任何网页。看 vps 上的提示说“ ocserv[3198]: main[user]: xx.xx.xx.xx:64289 user disconnected (reason: unspecified error, rx: 4110, tx: 0)”,请问楼主这是个什么情况?配置文件需要怎么样设置?
|
 |
154
whx20202 2016-10-25 14:13:49 +08:00
求发个配置文件看一下 我也想优化一下
顺便问一下 VPN 能加速吗? 比如用 KCPTUN 锐速什么的 我 SS + KCPTUN 能看 1080P VPN 连 360P 都。。。 |
|
155
halczy OP |
|
156
whx20202 2016-10-26 21:38:07 +08:00
@a154415433 可以只用密码登录,而且个人感觉那个 ca-cert 不是服务器证书的 ca 公钥,而是服务器用来鉴别用户身份的
|
|
157
whx20202 2016-10-26 21:40:57 +08:00
我用你的配置文件配置在我的 VPS ,我还是很慢。。。
用了你的, 1080P 随便看,我看了 3s 就退出了 请问你用的什么 VPS ?什么机房什么套餐啊? |
 |
158
Laygle 2016-11-08 18:54:00 +08:00
这速度也太快了,我用的 VULTR 的洛杉矶机房的慢的要死,撸主能否介绍下怎么优化的?还有你是哪家的 VPS ?
|
 |
159
laiwah 2016-11-09 17:21:56 +08:00
洛杉矶的怎么优化都只能看 480p ,勉强 720p, 还是楼主的阿里云好
|
 |
160
DDDV2V2 2016-11-09 20:48:33 +08:00
@halczy 我连上死也上不了网,能 ping 通 vpn 虚拟网卡和外网网卡,我 iptables 是这样的,能帮我看下么,问题在哪里
# Generated by iptables-save v1.4.21 on Tue Nov 8 23:07:23 2016 *nat :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.12.0.0/24 -o enp0s3 -j MASQUERADE COMMIT # Completed on Tue Nov 8 23:07:23 2016 # Generated by iptables-save v1.4.21 on Tue Nov 8 23:07:23 2016 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [40:5733] -A INPUT -p udp -m udp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -s 10.12.0.0/24 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -s 10.12.0.0/24 -j ACCEPT -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Tue Nov 8 23:07:23 2016 |
|
161
halczy OP 1
@DDDV2V2
应该是 Forward 没打开,试试添加这句到 iptables -A FORWARD -d 10.12.0.0/24 -j ACCEPT 然后打开 /etc/sysctl.conf: net.ipv4.ip_forward = 1 修改好后 sysctl -p /etc/sysctl.conf |
 |
163
zentraedi 2016-11-13 01:28:44 +08:00
@halczy 大侠现在还有 ss 服务器么?我想付费使用,就是用下 google ,偶尔 YouTube 和手机,可以按流量也可以按月算。诚心求!
|
|
164
Laygle 2016-12-08 02:22:40 +08:00
撸主,如果想用锐速优化 ANYCONNECT ,该如何搞?
|
 |
167
JenghongLee 2017-02-05 23:15:50 +08:00
你好 我试了下你的服务器 速度很不错。可能也有是 CN2 的缘故吧。我自己用 vultr 的日本机房搭建的 AnyConnect 速度很慢,大概只有 100~200KB/s 。 DNS 换成了科大的。速度仍然没有改善。请问这样的情况正常吗?
|
|
168
halczy OP @JenghongLee 如果你本地网络到 VULTR 速度慢的话,修改 AnyConnect 配置也无法提升多少。
|
|
169
JenghongLee 2017-02-06 11:55:49 +08:00
@halczy 好的,谢谢你的回复。
|
|
170
JenghongLee 2017-02-06 12:56:56 +08:00
@halczy 你好 我还有一个问题想请教下你,如果我想要更改 anyconnect 的连接端口,或者修改用户名和密码我需要怎么做呢?
|
|
171
halczy OP @JenghongLee
添加密码: sudo ocpasswd -c 用户名 配置文件里面: # TCP and UDP port number tcp-port = 1234 udp-port = 5678 |
 |
172
jansony1 2017-02-24 13:17:45 +08:00
nihao
|
|
173
jansony1 2017-02-24 15:38:48 +08:00
楼主请问一下,我这边按照配置的 VPN 连接没问题,打开谷歌,谷歌搜索都很快,但是搜索出来的网页打开的很慢,打开国内的网页也很慢了。。我在 vultr 日本的服务器,请问有什么建议么
|
|
174
jansony1 2017-02-24 15:40:07 +08:00
另外,我 vultr 配置的 ss 服务器访问很快,所以我感觉我 Ocsever 这里配置的有问题。
|
|
175
halczy OP @jansony1 检查一下连接是否 DTLS , UDP 端口打开了没有。如果是纯 TCP 连接, AnyConnect 的性能是没有 SS 好。
|
 |
176
kevin139186 2017-03-16 09:54:01 +08:00 via iPhone
大神,请问证书在哪里下载?感谢!
|
|
177
foxking 2017-04-24 00:02:08 +08:00
@halczy 您好,我可能是您所说的通过 BT 下载影响您的用户,而且我一般也没有下载 BT 的习惯,我平时一般都是通过您的 anyconnect 查看 youtube 。我将您的 anyconnect 设置在路由器上,而且是区分国内外流量,国外流量通过 anyconnect ,而且这两天看到您说是上海的用户,我即通过 routeros 路由器将 p2p 流量 prerouting 中直接从自己的出口出去。我比较奇怪的是 p2p 流量是我这边哪里的软件出去的。我已将您的设置从路由器上退去了,给您添麻烦了,很抱歉。
|
|
178
halczy OP @foxking 你的 IP 段是 101.224.11*.***吗?
因为服务商那边已经收版权警告两次,第三次就要停机。所以限制的比较严。如果你是那个 IP 段的,希望你能把设置调好,或者使用 P2P 时把 AnyConnect 停掉。 |
|
179
foxking 2017-04-24 01:16:32 +08:00
@halczy 就是,很抱歉,给您添麻烦了。我自己也在查找原因,在确认原因之前,我是不敢用您的 anycconnect 了,给您添麻烦了,实在抱歉,感谢您无私的共享精神。
|
|
181
foxking 2017-04-27 20:16:02 +08:00 1
@halczy 你好,我已调整好,请您看一下,如果还有 p2p 流量,请告知我,我立马关掉;此外,还想请教一下例如 popcorn 在线视频这种是不是也被认为是 p2p 流量?谢谢。
|
 |
183
haha71 2017-05-22 13:48:39 +08:00
楼主你好,请问你的 VPS 是用哪一家的,速度不错,求推荐。另外,我之前在 bwg 部了一套 ocserv,一直正常,但近日发觉连上后,无论手机还是电脑,访问网址都会提示 DNS 解析失败,有点奇怪。
|
|
184
halczy OP @haha71 VPS 目前是用 Psychz Networks 的。配置文件里 DNS=X.X.X.X 那里有没有配置好?如果配置好了可以试试更换其他公共 DNS。
|
 |
185
wzpsxx 2017-07-01 21:01:25 +08:00
@halczy 您好,看了您对 annyconnect 的优化,自己也试了一下,但是没什么效果,我只是一个普通的程序员,对服务器这一块也不是很懂,不过工作中经常需要翻墙拿资源或者是查文档,能麻烦您加一下我的QQ 799208766,帮我看下服务器的问题么,谢谢!
|
 |
186
youwei5683 2017-10-28 13:30:30 +08:00
你好请问 尝试优化了一下 AnyConnect(ocserv)的配置 这个怎么优化呢? 我在 IOS 上连接。太慢了
|
|
187
youwei5683 2017-10-28 15:20:09 +08:00
请大神留下联系方式 小白求多多请教
|
|
188
youwei5683 2017-10-29 16:28:02 +08:00
@halczy 你好我的 ocserv 搭建好了。访问 GOOGLE 有时候随机断网什么鬼
|
|
189
halczy OP @youwei5683 断网和你访问什么网站是没有关系的。可能是网络不稳之类的。ocserv 会自动重连,和有断流检测,稍等一下就会自己修复。
断流检测间隔是你设置 dpd = ? 的秒数。 如果断流很频繁可以关闭 udp,也就是注释掉 udp-port = ? |
|
190
youwei5683 2017-11-02 10:08:59 +08:00
@halczy 好像有点用。大神能留个联系方式吗?
|
|
191
youwei5683 2017-11-02 10:17:51 +08:00
@halczy 只开 TCP youtube 视频放不出来呢?
|
|
192
youwei5683 2017-11-02 11:52:21 +08:00
@halczy 这是我的配置文件 大神看看哪里需要调整一下
auth = "certificate" # TCP and UDP port number tcp-port = 443 #udp-port = 443 run-as-user = nobody run-as-group = daemon socket-file = /var/run/ocserv-socket server-cert = /etc/ocserv/server-cert.pem server-key = /etc/ocserv/server-key.pem ca-cert = /etc/ocserv/ca-cert.pem isolate-workers = true max-clients = 60 max-same-clients = 0 keepalive = 32400 dpd = 1 mobile-dpd = 90 try-mtu-discovery = true cert-user-oid = 2.5.4.3 tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0" auth-timeout = 180 min-reauth-time = 300 max-ban-score = 50 ban-reset-time = 300 cookie-timeout = 86400 persistent-cookies = true deny-roaming = false rekey-time = 172800 rekey-method = ssl use-occtl = true pid-file = /var/run/ocserv.pid device = vpns predictable-ips = false default-domain = example.com ipv4-network = 192.168.1.0 ipv4-netmask = 255.255.255.0 dns = 8.8.8.8 ping-leases = false mtu = 1420 output-buffer = 10 route =default |
|
193
halczy OP @youwei5683 配置没什么问题。
TCP 部分网站上不了可能时 TCP MTU 问题,命令行下 sudo iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu |
 |
194
xiaoun001 2017-11-19 11:00:59 +08:00 1
@halczy 谢谢楼主。
之前是因为捣鼓 CISCO ASA 流量分割功能 ,搜索到 OCSERv,来到你的帖子。颇有收获,很感谢。 楼主的服务器,是我目前见过最好的!!!所以即使付费,我也愿意!!! 我也看到,楼主一直有不断优化路由表,也看出楼主思路。减小国内不必要流量经过服务器,确保带宽有效利用,确保服务器压力最小。 1、确保墙外流量走楼主服务器。 2、确保国内流量走用户本地。 CNNIC 的国内路由表是 7900 多条,OCSERv 路由表限制在 64 条(?),因此根本无法实现精准分割。所以,需要我们用户共同来爱护,维护。毕竟现在出国的路不多了。 我有一个想法,并且付诸实施,效果还不错。在我们家里的网络,再加一层路由,并且先于楼主的路由表,由客户端路由表实现流量精准分割。国内的匹配国内路由表( 7900 ),走自己的出口。其它按默认路由,走楼主的出口(做 NAT ),效果不错。就是费点功夫。 优点如下: 1、可以自己指定 DNS。 2、可以极大减轻服务器流量及性能压力。 3、可以极大优化访问国内速度(走自己的线路) 最后,再次谢谢楼主。真诚感谢。 能把线路精雕细琢到如此程度,能够做到秒开 YOUTUBE,GOOGLE 的,真的很是佩服。 毕竟,不算上设备延迟,仅仅美国到中国光纤理论最短延迟,也在 130ms 多(目前来说无可避免,也无法优化),真的很佩服楼主。 再一次感谢。 |
|
195
youwei5683 2017-11-20 14:20:30 +08:00
@halczy
你好我在 openwrt 下链接您的服务器 报以下错误能帮忙看看么 root@LEDE-X64:~# openconnect 103.85.187.19 POST https://103.85.187.19/ Connected to 103.85.187.19:443 SSL negotiation with 103.85.187.19 Server certificate verify failed: certificate does not match hostname Certificate from VPN server "103.85.187.19" failed verification. Reason: certificate does not match hostname To trust this server in future, perhaps add this to your command line: --servercert sha256:eb429408d30af27935eb1887948af02346a8820ec305d0b3ea04dd4304ba95dd Enter 'yes' to accept, 'no' to abort; anything else to view: yes Connected to HTTPS on 103.85.187.19 XML POST enabled Please enter your username. Username:v2ex POST https://103.85.187.19/auth Please enter your password. Password: POST https://103.85.187.19/auth Got CONNECT response: HTTP/1.1 200 CONNECTED CSTP connected. DPD 60, Keepalive 32400 Connected as 172.16.100.107 + 2001:470:f04c:e3a9:9746:1706:b3ee:6f71/64, using SSL Established DTLS connection (using GnuTLS). Ciphersuite (DTLS1.2)-(PSK)-(AES-256-GCM). Script '/lib/netifd/vpnc-script' returned error 1 Script '/lib/netifd/vpnc-script' returned error 1 Failed to write incoming packet: I/O error |
|
196
xiaoun001 2017-11-29 15:16:29 +08:00
@halczy
麻烦大神,我这是进了贵服黑名单的节奏,还是被 GFW 给盯上了? 能够认证通过,获取路由表,就是不停的重连获取地址,提示 Reconnect gave different Legacy IP address (172.16.100.96 != 172.16.100.165)。 小弟的外网地址是 220.165.*.* (拨号获得的动态地址) ... ... 2017-11-29 14:44:30 | 358 | X-DTLS-CipherSuite: PSK-NEGOTIATE 2017-11-29 14:44:30 | 358 | X-CSTP-Base-MTU: 1406*2 2017-11-29 14:44:30 | 358 | X-CSTP-MTU: 1340 2017-11-29 14:44:30 | 358 | Reconnect gave different Legacy IP address (172.16.100.96 != 172.16.100.165) 2017-11-29 14:44:30 | 358 | sleep 10s, remaining timeout 60s 2017-11-29 14:44:40 | 358 | SSL negotiation with 23.228.222.142 2017-11-29 14:44:41 | 358 | Server certificate verify failed: certificate does not match hostname 2017-11-29 14:44:41 | 358 | Connected to HTTPS on 23.228.222.142 2017-11-29 14:44:44 | 358 | Got CONNECT response: HTTP/1.1 200 CONNECTED ... ... |
|
198
halczy OP 1
@xiaoun001 另外是用 AnyConnect 还是 OpenConnect 客户端。什么系统 /平台上用?
|
|
199
xiaoun001 2017-11-29 20:59:32 +08:00
@halczy 两个我都测试了。
以下均在电信 220.165.*.* 同一网络下测试。 家里的网络环境: 1、电信 100Mbps FTTB 对称网络,有动态公网地址,未多拨。 2、移动 50Mbps 非对称 FTTH,上行在 25Mbps 左右,未多拨,无公网 IP 地址。 使用: 路由策略,移动目标走移动,其它全部默认走电信。 1、出现前述故障的是:Debian 9 + OpenConnect 命令行客户端 ,是通过 apt-get install 直接安装的。基于家里的 KVM 虚拟机安装,用作家庭路由器。做的策略是,国内目标走我自己的双线,国外目标走贵服(就是我一个人用),突然想起之前添加 --no-dtls,把 DTLS 关掉就可以拨上了,刚才试了一下,果然成功了,开 DTLS 就会掉。大概在两三个月前,也遇到一次。后来不知怎么又好了,今天突然就又不好了,还原镜像,重装客户端也不好。 用该 OpenConnect 客户端,在局域网连接我自己做的 OCSERv,版本 ocserv 0.11.9 GnuTLS version: 3.5.8 未见此现象,目视正常(强制关闭了整个环境的 IPV6 支持) 2、在 windows 环境安装 GUI 版本的 OpenConnect,也出现前述故障。 3、电信拨号环境 Cisco AnyConnect 4.4 电脑端连 23.x.x.x 服务器,会断开一次重连,而后又稳定了。之前在贵服从来没有遇到过。 4、Iphone6 Cisco AnyConnect 4.4 完全正常。 5、谢谢楼主,我是一个深度网络技术迷,目前着眼于利用开源技术 DIY 自己想要的东东,很愿意和你交朋友。h 6、谢谢! |
|
200
xiaoun001 2017-11-29 21:03:17 +08:00
@halczy 这几个月捣鼓 OCSERv,在 DNS 上有一些收获,分享一下:
1、我尝试在自己的 OCSERv 上做了一个本地 Dnsmasq 缓存,然后将 OCserv 的 DNS 指向本服,我发现,上网体验,优化了很多呢。 2、分享几个 DNS,我搜集的。 nameserver 106.14.152.170 nameserver 178.79.131.110 nameserver 101.6.6.6 nameserver 202.141.162.123 |
Select Language