V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
pfitseng
V2EX  ›  分享发现

ocserv 更新到 0.9 版本了,配置文件参数有变。。。

  •  
  •   pfitseng · 2015-01-26 14:33:23 +08:00 · 11986 次点击
    这是一个创建于 3594 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://www.infradead.org/ocserv/changelog.html

    加了一个 isolate-workers 参数,干掉了原来的use-seccomp
    另外支持了lz4压缩,不过我在debian7上没成功开启,再说了

    56 条回复    2015-05-23 01:33:14 +08:00
    kkxxxxxxx
        1
    kkxxxxxxx  
       2015-01-26 15:18:15 +08:00
    更新去
    anjunecha
        2
    anjunecha  
       2015-01-26 15:19:49 +08:00   ❤️ 1
    最重要的更新是终于原生支持 Radius 了
    pfitseng
        3
    pfitseng  
    OP
       2015-01-26 15:35:09 +08:00
    @anjunecha 呵呵,能卖钱了
    kkxxxxxxx
        4
    kkxxxxxxx  
       2015-01-26 15:36:22 +08:00
    @anjunecha 是什么用途呢
    anjunecha
        5
    anjunecha  
       2015-01-26 15:48:29 +08:00
    @kkxxxxxxx 不必再折腾 pam 了
    xierch
        6
    xierch  
       2015-01-26 16:03:07 +08:00 via Android
    RADIUS 含 accounting 么…
    anjunecha
        7
    anjunecha  
       2015-01-26 16:20:53 +08:00   ❤️ 1
    @xierch 现在的版本已经支持 acconuting 了
    crystone
        8
    crystone  
       2015-01-26 16:51:37 +08:00
    关键问题没有说:能逃过gfw么
    liuchen9586
        9
    liuchen9586  
       2015-01-26 17:06:23 +08:00
    @crystone 能,但是速度一般慢得不行。被QOS了
    jiangzhizhou
        10
    jiangzhizhou  
       2015-01-26 17:18:34 +08:00
    自己用的话还要升级么?话说这东西效率不如ss啊。但是ss要越狱后用。
    rwzsycwan
        11
    rwzsycwan  
       2015-01-26 17:30:33 +08:00
    lz4 LZS 压缩 把#compression = true 的注释去掉就可以开启了吗??
    pfitseng
        12
    pfitseng  
    OP
       2015-01-26 17:32:50 +08:00
    @rwzsycwan 要在编译的时候把lz4加进去,debian7的lz4库有问题,有能力的自己解决了
    pfitseng
        13
    pfitseng  
    OP
       2015-01-26 17:33:10 +08:00
    @liuchen9586 QOS怎么说?
    rwzsycwan
        14
    rwzsycwan  
       2015-01-26 17:34:34 +08:00
    试了下 windows下的 AnyConnect客户端LZS压缩开启成功了 不知道android 和IOS下怎样
    rwzsycwan
        15
    rwzsycwan  
       2015-01-26 17:36:11 +08:00
    @pfitseng 我改了下重启服务后windows下的 AnyConnect客户端已经显示Cisco AnyConnect Secure Mobility Client 4.0.00051
    (Mon Jan 26 17:35:45 2015)

    Transport Information
    Compression: LZS
    pfitseng
        16
    pfitseng  
    OP
       2015-01-26 17:38:46 +08:00
    @rwzsycwan 你编译的时候报错了吗,如果不支持,他会提示lz4没编译进去的,另外用的是什么操作系统说下不
    rwzsycwan
        17
    rwzsycwan  
       2015-01-26 17:40:29 +08:00
    @pfitseng 没报错啊 用的windows8.1 Cisco AnyConnect Secure Mobility Client 4.0.00051
    rwzsycwan
        18
    rwzsycwan  
       2015-01-26 17:44:06 +08:00
    configure后的 好像没有LZ4 compression 可是LZS没问题啊
    version: 0.9.0
    Host type: x86_64-unknown-linux-gnu
    Install prefix: /usr/local
    Compiler: gcc
    CFlags: -g -O2 -Wall

    PAM auth backend: yes
    Radius auth backend: no
    TCP wrappers: yes
    systemd: no
    (socket activation)
    dbus: no
    readline: yes
    libnl3: yes
    glibc (sha2crypt): yes
    local talloc: no
    local protobuf-c: yes
    local PCL library: no
    local libopts: no
    local http-parser: yes

    configure:

    Experimental options:
    seccomp: yes
    Linux namespaces: no
    LZ4 compression: no
    Anyconnect compat: yes
    liuchen9586
        19
    liuchen9586  
       2015-01-26 18:00:50 +08:00
    @pfitseng 慢得要命
    rwzsycwan
        20
    rwzsycwan  
       2015-01-26 18:07:19 +08:00
    @liuchen9586 自己测试过 把UDP 443端口关掉应该会好一些
    rwzsycwan
        21
    rwzsycwan  
       2015-01-26 18:08:38 +08:00
    @pfitseng debian7的lz4库版本太低吗??
    liuchen9586
        22
    liuchen9586  
       2015-01-26 18:08:39 +08:00
    @rwzsycwan 好的,待会看看
    ocserv的UDP443端口是干啥的?
    jerry
        23
    jerry  
       2015-01-26 18:15:40 +08:00
    0.9 使用证书认证掉线后无法自动重连,0.8.9 都没问题,不知道是不是我配置有问题
    rwzsycwan
        24
    rwzsycwan  
       2015-01-26 18:21:46 +08:00
    @liuchen9586 传输数据
    rwzsycwan
        25
    rwzsycwan  
       2015-01-26 18:22:31 +08:00
    @jerry 额 我的暂时没问题
    rwzsycwan
        26
    rwzsycwan  
       2015-01-26 18:24:31 +08:00
    @liuchen9586 从别人那儿复制的:
    使用TCP模式(TLS)而不是UDP模式(DTLS)传输数据
    默认控制协议使用TCP端口而UDP端口用来传输数据 但是国内有些运营商或者企业内网对UDP协议有深度限制 可能达不到最大流速或者效果不好,那么可以关闭UDP模式转为TCP模式 变成纯TLS VPN 方法很简单,服务端配置文件里面的udp-port选项注释即可
    rwzsycwan
        27
    rwzsycwan  
       2015-01-26 18:27:16 +08:00
    @liuchen9586 我的实际测试开着udp的话,下载很慢,上传较高;关掉后使用tcp443下载恢复较高,上传很慢。宽带为广西电信
    liuchen9586
        28
    liuchen9586  
       2015-01-26 18:30:50 +08:00
    @rwzsycwan 收到,感谢您的提醒。
    的确快了点,速度上升了150KB/s左右,现在是400KB/S
    rwzsycwan
        29
    rwzsycwan  
       2015-01-26 18:40:53 +08:00
    @pfitseng 额 我更换了jessie的源重新安装了一下liblz4-dev,现在configure后LZ4 compression 为yes了,编译安装正常 可是windows下链接还是LZS,应该是cisco客户端只支持LZS吧。我测试过了android 和IOS下最新的AnyConnect客户端,能正常使用LZS压缩。这个版本的ocserv好像有点问题,IOS下连接很不不稳定
    rwzsycwan
        30
    rwzsycwan  
       2015-01-26 18:44:11 +08:00
    @jerry 我遇到IOS7.1.2 下证书认证很容易断开链接,然后同样无法重建链接。android下没有问题.我再试试密码验证
    pfitseng
        31
    pfitseng  
    OP
       2015-01-26 20:42:32 +08:00
    @rwzsycwan 哥们知道 cgroup = "cpuset,cpu:test"这个参数怎么开启吗?试了很久,貌似总是不对。
    rwzsycwan
        32
    rwzsycwan  
       2015-01-26 22:07:53 +08:00
    @pfitseng 没设置过这个
    rwzsycwan
        33
    rwzsycwan  
       2015-01-26 22:13:20 +08:00
    @pfitseng 没研究过 看别人有这个参数 我也加上
    pfitseng
        34
    pfitseng  
    OP
       2015-01-26 22:24:56 +08:00 via Android
    @rwzsycwan 我刚看了,没什么用,是用来控制资源利用率的,一般人不会开这功能,注释掉也一样
    kkxxxxxxx
        35
    kkxxxxxxx  
       2015-01-26 22:40:20 +08:00
    @anjunecha 你们路由表分流么,分流的话会不会有的Instagram暂时刷不出来
    anjunecha
        36
    anjunecha  
       2015-01-26 23:05:15 +08:00
    @kkxxxxxxx 不分流,全局VPN,也省去了很多麻烦,
    mscdfans
        37
    mscdfans  
       2015-01-26 23:20:35 +08:00
    compression启用了,安卓客户端上非常卡,谷歌play很多图片都刷不出来,我的手机是lg g3测试了一下,又关闭了这个功能
    titanium98118
        38
    titanium98118  
       2015-01-27 01:49:34 +08:00 via Android
    感觉这个版本很容易断线
    kkxxxxxxx
        39
    kkxxxxxxx  
       2015-01-27 08:24:23 +08:00
    @anjunecha 全局不太合适长期连接啊
    lucifer9
        40
    lucifer9  
       2015-01-27 13:03:44 +08:00
    0.9 断了以后重练不能,这个是 bug 还是 feature
    Actrace
        41
    Actrace  
       2015-01-27 13:35:01 +08:00
    最麻烦的还是断流问题。这个问题到现在还没修复。
    Daniel65536
        42
    Daniel65536  
       2015-01-27 14:20:37 +08:00
    Debian7启用lz4的方法:

    echo "deb ftp://ftp.debian.org/debian/ jessie main contrib non-free" >> /etc/apt/sources.list
    cat << _EOF_ >> /etc/apt/preferences
    Package: *
    Pin: release jessie
    Pin-Priority: 60
    _EOF_
    apt-get -t jessie install liblz4-dev

    解释:
    添加jessie源,设定jessie源的优先级到最低以避免系统其他包被更新到不稳定版,指定从jessie安装liblz4-dev
    注释:
    liblz4-dev在backports的版本是r114,该版本有bug,需要安装jessie的r122版本,详见https://bugs.launchpad.net/ubuntu/+source/lz4/+bug/1403328

    ---------------

    @pfitseng
    cgroup貌似要在编译时加入参数“--enable-linux-namespaces”来启用。
    zk8802
        43
    zk8802  
       2015-02-01 03:48:42 +08:00   ❤️ 1
    @lucifer9 @rwzsycwan 昨天 git://git.infradead.org/ocserv.git 的 master 分支解决了使用证书认证不能自动重连的问题。git clone 之后重新编译即可。
    rwzsycwan
        44
    rwzsycwan  
       2015-02-01 08:03:49 +08:00
    @zk8802 谢谢 我试下
    rwzsycwan
        45
    rwzsycwan  
       2015-02-01 08:30:35 +08:00
    @zk8802 确实链接正常了 谢谢
    myliyifei
        46
    myliyifei  
       2015-02-06 18:36:08 +08:00
    @rwzsycwan 电信对TCP的绝大部分端口限速。 UDP大部分端口都正常,但是极速不如TCP。 另外这个ocserv好像支持juniper的pulse,我们公司用的这个。

    话说 SSL VPN 应该容易被GFW 识别吧。
    rwzsycwan
        47
    rwzsycwan  
       2015-02-06 18:42:55 +08:00
    @myliyifei 用了大半年了 暂时没问题
    Quaintjade
        48
    Quaintjade  
       2015-02-18 16:42:50 +08:00
    @myliyifei
    看到juniper pulse马上去试了试,结果我们公司pulse的设置是被管理员锁住的。。。
    Quaintjade
        49
    Quaintjade  
       2015-02-18 17:01:46 +08:00
    @myliyifei 搜了下,好像是新版的openconnect客户端初步支持--juniper。没找到ocserv如何支持pulse客户端。。。
    myliyifei
        50
    myliyifei  
       2015-02-18 18:20:55 +08:00
    @Quaintjade pulse我这里只能设置URL
    u2ktgshc
        51
    u2ktgshc  
       2015-03-13 15:28:18 +08:00
    @zk8802 在编译啊?没搞成功!
    zk8802
        52
    zk8802  
       2015-03-13 17:06:37 +08:00 via iPhone
    @u2ktgshc 具体是什么问题呢?有错误提示么?
    regeditms
        53
    regeditms  
       2015-05-01 21:03:09 +08:00
    测试了下 开启压缩 速度很慢 linode日本节点才200kb,如果没开启 可以达到1m
    gfgrgerg
        54
    gfgrgerg  
       2015-05-04 14:03:27 +08:00
    我去掉compression = true前的释掉就好了,ios8.2,anyconnect可以看到压缩lzs
    kang000feng
        55
    kang000feng  
       2015-05-22 18:47:03 +08:00
    @rwzsycwan 你好,请问windows下Cisco AnyConnect Secure Mobility Client 4.0.00051 最低系统支持是win7吗? 我到官网下的无法安装,能把你下的发一个给我吗? 我架了ocserv服务, 想测试windows端的速度, 谢谢! 邮 用户名 at live.com 祝好!
    rwzsycwan
        56
    rwzsycwan  
       2015-05-23 01:33:14 +08:00
    已发最新版本anyconnect-win-4.1.00028-pre-deploy-k9 win7 win8 xp应该都可以
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1436 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 44ms · UTC 23:52 · PVG 07:52 · LAX 15:52 · JFK 18:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.