ocserv.conf 加上 route 之后, iOS 客户端的访问全乱了,有人遇到吗?

2015-10-20 09:59:58 +08:00
 wkdhf233

我用的这个
https://www.snip2code.com/Snippet/60260/cisco-anyconnect-ocserv-conf
Win 客户端能正常工作,但 iOS 的就不行
甚至同一份路由表,昨天测试的时候 iOS 是几乎全都走本地的,今天又变成了几乎全走服务器

ocserv 是 0.10.9 ,客户端是 Store 下的 anyconnect 最新版,手机 iPhone6s
有人遇到和我一样的情况吗?

PS :用 openssl 生成的 p12 格式的证书导入 iOS 之后移动端不需要密码登陆了,但强迫症还是想问问,那个“此描述文件尚未签名”有办法弄成“已验证”吗?我照 https://wiki.geant.org/display/tcs/Sign+Apple+mobileconfig+files?focusedCommentId=34177052#comment-34177052 签了下试试,结果生成的证书 iOS 认不出来了

3399 次点击
所在节点    问与答
11 条回复
pH
2015-10-20 10:41:30 +08:00
尚未签名的问题应该是你的 CA 是自己生成的吧。

另外这个 route 和 no route ,我看配置里面的注释说明,一直感觉不明不白,不知道是不是英语太渣了。
wkdhf233
2015-10-20 10:51:56 +08:00
@pH CA 不应该自己生成吗。。?

这俩应该就是下发到客户端的路由配置, route 采用白名单形式, no-route 采用黑名单形式,不能同时使用
no-route 我 Win7 上跑的客户端完全接不到,把 route 全注释掉然后加了 no-route 的话,客户端那边依然是按照没有路由表的情况全局走服务器的
Daniel65536
2015-10-20 12:41:34 +08:00
忘掉 anyconnect 吧, iOS 上直接用 surge 多好。
wkdhf233
2015-10-20 13:01:28 +08:00
@Daniel65536 上架卡住了
pH
2015-10-21 09:50:04 +08:00
@wkdhf233 因为你的 CA 是自己生成的,没有任何权威证书信任你,所以系统也不会信任你。如果你的 CA 被某个顶级权威信任(签名)的话,那系统也就会信任了。 好像是个循环信任机制,可能与实际有出入。欢迎指正
wkdhf233
2015-10-21 10:49:50 +08:00
@pH 所以我要做的不是给 p12 签名,而是给 CA 签名,然后用这个 CA 生成的客户端证书就能被信任了?

主要是看到别人生成的描述文件好像是绿色的已验证,自己的红着好蛋疼。。
pH
2015-10-21 18:14:54 +08:00
@wkdhf233 恩。因为是循环的,如果你自己制作的 ca 被操作系统所认定为安全的 ca 签名了,那所有被你自己制作的 CA 签名过的,该操作系统都会认为合理有效。
kkxxxxxxx
2015-10-26 14:49:55 +08:00
AnyConnect 证书无法分组。。。
wkdhf233
2015-10-26 15:13:12 +08:00
@kkxxxxxxx 什么意思?使用证书登陆无法读取 route 设置?
kkxxxxxxx
2015-10-26 16:19:45 +08:00
@wkdhf233 据说是 Bug ,证书默认全局
wkdhf233
2015-10-27 13:19:40 +08:00
@kkxxxxxxx 卧槽这 bug 坑爆了。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/229427

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX