V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ChopMoun
V2EX  ›  问与答

关于在 Centos 7 下搭建 Cisco AnyConnect 问题。

  •  
  •   ChopMoun · 2015-04-07 12:44:30 +08:00 · 10925 次点击
    这是一个创建于 3507 天前的主题,其中的信息可能已经有所发展或是发生改变。
    防火墙使用的是firewalld ,使用一键脚本搭建完毕后没有报什么错误,但在AnyConnect中输入用户名密码之后弹出提示 “安全网关已拒绝所尝试连接的操作。需要尝试与同一或其他安全网关建立新连接。新连接要求重新进行身份验证” 无法连接,请问大家应该是什么问题呢? 新手!实在是无力解决了。希望大家能帮忙。感谢🙏。
    第 1 条附言  ·  2015-04-08 01:46:47 +08:00
    已经搞定了。谢谢
    第 2 条附言  ·  2015-04-08 12:06:25 +08:00
    昨天搞到太晚,没有给大家多啰嗦几句,见谅。
    其实我所使用的最新的脚本,本身来说是没有问题的。
    如果你也和我一样有问题,先确定是不是你自己的配置问题,亦或者是执行文件权限的问题。
    我自己检查过后内心是感觉没有问题的,无论配置,权限,还是其他,但因为自己是新手,不确定,邀请了两位懂的人进去帮我看看,但也没有搞定,提示同样的错误。
    于是我就怀疑是不是我所在机房的一些问题,想到后我就放弃之前的努力,直接更换了所在机房。
    然后配置firewalld防火墙,权限,一些端口后,执行脚本,然后一路下来也是没有报任何错误,于是我尝试iOS用Cisco AnyConnect 去连接。结果一切正常,连接ok,没有任何问题。证实了我的判断,确实应该是机房问题,但具体是什么,我还不知道。

    如果你也碰到我的问题,先确认是不是你自身的配置问题,不是的话,就可能是你的服务器本身问题。然后去解决就好了。

    把我昨天的过程大概写了下来。希望可以帮助一部分人,感谢大家的回复帮助。
    31 条回复    2015-04-08 17:07:22 +08:00
    cattyhouse
        1
    cattyhouse  
       2015-04-07 14:55:31 +08:00 via iPhone
    把firewall停掉,用iptables
    ChopMoun
        2
    ChopMoun  
    OP
       2015-04-07 15:29:48 +08:00
    @cattyhouse 试过了,用iptables后也是一样的提示,不知道什么地方出了问题
    DylanWu
        3
    DylanWu  
       2015-04-07 16:55:59 +08:00 via iPhone
    你iptables上的数据转发设置了没有?
    ChopMoun
        4
    ChopMoun  
    OP
       2015-04-07 18:31:37 +08:00
    @DylanWu 这个没有,不懂怎么设置,求指教,感谢。
    ddqp
        5
    ddqp  
       2015-04-07 18:54:35 +08:00
    @cattyhouse
    @DylanWu
    顺路问下,如果关掉iptables,或者允许所有,会有什么危险吗?VPS上的。
    ddqp
        6
    ddqp  
       2015-04-07 18:55:33 +08:00
    @ChopMoun 你直接删掉firewall,iptables 允许所有,这样肯定是可以的,就是不知道会有什么危险
    ChopMoun
        7
    ChopMoun  
    OP
       2015-04-07 19:00:57 +08:00
    @ddqp 这貌似不是关闭防火墙能解决的问题。我之前就已经关闭过所有来测试,可还是一样的问题。
    jaleo
        8
    jaleo  
       2015-04-07 20:08:03 +08:00
    这个错误我以前也遇到过 不过忘记具体是什么原因了
    你会不会是填错了端口号?
    coolcfan
        9
    coolcfan  
       2015-04-07 20:13:52 +08:00
    firewalld很简单啊,用firewall-cmd把端口号加进去就行了……
    ChopMoun
        10
    ChopMoun  
    OP
       2015-04-07 20:34:25 +08:00
    @jaleo 没有啊,端口号我看过,没有错误,却不知道是什么原因。无力了。。
    ChopMoun
        11
    ChopMoun  
    OP
       2015-04-07 20:35:06 +08:00
    @coolcfan 端口已经是加进去了,却不知道什么原因
    jaleo
        12
    jaleo  
       2015-04-07 21:30:38 +08:00
    @ChopMoun 我想起来 我以前编辑ocserv的配置文件 在ocserv的连接和断开时执行脚本 但是没有赋予脚本的执行权限 在连接cisco anyconnect的时候 会提示这个错误
    给你参考下
    ChopMoun
        13
    ChopMoun  
    OP
       2015-04-07 22:20:25 +08:00
    @jaleo 我是root登录的啊。不会是权限的问题了吧?
    ChopMoun
        14
    ChopMoun  
    OP
       2015-04-07 22:28:17 +08:00
    @jaleo 试了一下,还是不行,实在搞不懂了
    jaleo
        15
    jaleo  
       2015-04-07 22:48:17 +08:00
    @ChopMoun 你是用这个脚本吗?https://github.com/travislee8964/Ocserv-install-script-for-CentOS-RHEL-7
    如果你建了ocserv的连接脚本ocserv-script 应该赋予它执行权限 chmod +x ocserv-script(这里应该写全脚本的具体路径)
    如果你没有使用脚本 那么可能是其他问题了
    ChopMoun
        16
    ChopMoun  
    OP
       2015-04-07 22:55:48 +08:00
    @jaleo 用的就是这个脚本。但是执行完并没有报任何错误。我重新再执行一次试试吧
    ChopMoun
        17
    ChopMoun  
    OP
       2015-04-07 23:02:37 +08:00
    @jaleo 重新赋予权限执行后还是不行,一样的错误。肯定是服务端的原因,但就是不知道什么原因,郁闷坏了。
    https://dl.pushbulletusercontent.com/SGMTFYD0pzOQpOqd3SW5bOPAxHS97Nnz/IMG_0343.PNG
    jaleo
        18
    jaleo  
       2015-04-07 23:03:28 +08:00
    这个脚本久经考验 已经装了不下20次 安装过程不报错 按理是能用的
    jaleo
        19
    jaleo  
       2015-04-07 23:04:56 +08:00
    我用ocserv0.92版本
    修改脚本第39行 version=${1-0.9.2}
    ChopMoun
        20
    ChopMoun  
    OP
       2015-04-07 23:16:10 +08:00
    @jaleo 我知道有人可以,但在这确实是一直是这个错误,不知道什么原因,你方便吗?可以帮我看看不?你qq多少,我加你
    jaleo
        21
    jaleo  
       2015-04-07 23:35:33 +08:00
    @ChopMoun 1585887
    ericFork
        22
    ericFork  
       2015-04-08 04:18:11 +08:00
    @ChopMoun 如果解决了,请描述一下你是怎么解决的,分享一下你的解决过程,帮助后来的人
    derekyang
        23
    derekyang  
       2015-04-08 09:33:39 +08:00   ❤️ 1
    本来不想发言, 看了楼主这个依据搞定了我实在忍不住了, 别这样啊,搞定了分享一下阿,碰到好多次了网上找解决方案,高高兴兴看到别人提到同样的问题以为有救了,最后也是提问的人一句搞定了就结尾了。
    DylanWu
        24
    DylanWu  
       2015-04-08 10:13:24 +08:00 via iPhone
    @ddqp 不行的,我记得防火墙是不能关的,需要转发数据
    DylanWu
        25
    DylanWu  
       2015-04-08 10:17:22 +08:00 via iPhone
    @derekyang 我一开始也是用的centos7,主要是firewall的参考资料不全,设置转发这条卡住了,还是换iptables比较好
    Luzifer
        26
    Luzifer  
       2015-04-08 10:17:54 +08:00 via iPhone
    提问的智慧
    DylanWu
        27
    DylanWu  
       2015-04-08 10:21:15 +08:00 via iPhone
    @ChopMoun 不推荐用一键安装脚本,最好是自己一步一步装,这样出错了才晓得是哪一步有问题,你设置一下这个
    (一) 开启ip转发功能:修改配置文件/etc/sysctl.conf,使net.ipv4.ip_forward = 1
    (二) 写个脚本文件,实现路由,其内容大致如下:
    [root@max-vpn ~]# more /usr/local/bin/vpn_route.sh
    #!/bin/bash
    /sbin/iptables -t nat -A POSTROUTING -s 192.168.195.0/24 -o eth0 -j SNAT --to-source 61.135.251.50
    /sbin/iptables -t nat -A POSTROUTING -s 172.16.195.0/24 -o eth1 -j SNAT --to-source 192.168.195.166
    /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    另你的主机是vps还是什么?openvz是不支持内核转发的
    DylanWu
        28
    DylanWu  
       2015-04-08 10:33:18 +08:00 via iPhone
    @derekyang 好吧,ios上看不见楼主的追加,就当是回复你的吧
    ChopMoun
        29
    ChopMoun  
    OP
       2015-04-08 11:50:11 +08:00
    @derekyang 昨天搞到太晚,还没时间多啰嗦几句,见谅,一会追加
    ChopMoun
        30
    ChopMoun  
    OP
       2015-04-08 11:51:56 +08:00
    @DylanWu 其实配置本身是没有问题吧,我等会追加写出来
    derekyang
        31
    derekyang  
       2015-04-08 17:07:22 +08:00
    @ChopMoun 是我错怪了貌似,不好意思咯!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5592 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 01:35 · PVG 09:35 · LAX 17:35 · JFK 20:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.