V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
halczy
V2EX  ›  分享创造

尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.

  •  8
     
  •   halczy ·
    halczy · 2015-01-03 09:41:29 +08:00 · 92497 次点击
    这是一个创建于 3610 天前的主题,其中的信息可能已经有所发展或是发生改变。

    优化了一下配置文件. 自己测试从原来1Mbps不到的速度提升到5Mbps左右. 通过iperf测试 电信到服务器的单线带宽是应该有20Mbps左右. 不知道大家有用ocserv架的AnyConnect使用情况是怎么样呢?

    欢迎大家测试一下, 看看速度如何.
    服务器地址: omicronpersei8.ml
    帐号: v2ex
    密码: v2ex
    高级选项 -> 网络漫游: 打开 (打开后可以自由切换网络不断线, 一天內断网自动重连)

    第 1 条附言  ·  2015-01-03 16:08:47 +08:00
    电信出口又开始大范围丢包了, 所以现在会很慢. 大家可以改天再试. 帐号我会尽量保持开通, 除非是有人故意捣乱.
    第 2 条附言  ·  2015-05-19 18:14:14 +08:00
    因原域名故障, 服务器地址改为: any.omicronplus.com
    第 3 条附言  ·  2022-03-23 08:51:17 +08:00
    因为先前服务器下发配置有误,部分客户端获取了错误的配置后,出现了无法访问等报错。如果出现了这个问题,可以试着删除原有的配置,再重新连接服务器。

    配置文件地址
    Windows:
    %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Profile

    Mac OS X:
    /opt/cisco/anyconnect/profile

    Linux:
    /opt/cisco/anyconnect/profile
    第 4 条附言  ·  2022-11-10 14:44:38 +08:00
    22 年 10 月左右所有服务器的 IPv4 都被封了,即便更换端口也会几分钟内封掉。这个也不清楚什么时候能够放出来。目前 IPv6 还是能够正常链接的。例如国内三大运营商的手机网络默认都会配有 IPv6 ,在手机上可以直接使用。家庭网络的话,注意路由器开放 IPv6 下发。
    256 条回复    2023-08-13 16:17:31 +08:00
    1  2  3  
    halczy
        101
    halczy  
    OP
       2016-04-19 14:17:47 +08:00 via iPhone
    @wheat0r
    output-buffer 改小或者用默认值就可以了。记得打开 UDP 。
    brobird
        102
    brobird  
       2016-04-21 20:11:19 +08:00
    @halczy 我自己搭的服务器有一个非常诡异的事情, http://www.bbc.com/zhongwen/simp 打不开!非常诡异!有的时候连带 www.bbc.com 一起跪……安卓和电脑上的 ss 连没问题,所以应该是 anyconnect 的锅了,您帮我想想可能还有哪里出了问题?
    brobird
        103
    brobird  
       2016-04-21 20:13:06 +08:00
    @halczy 还有我这里测试如果用安卓端连的话,好像路由表就没有了……
    halczy
        104
    halczy  
    OP
       2016-04-21 21:02:47 +08:00
    @brobird

    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    brobird
        105
    brobird  
       2016-04-22 23:08:26 +08:00
    @halczy 找到原因了, 103.0.0.0/255.0.0.0 这一条把 BBC 的一个 CDN 包括进去了,而服务器默认解析的就是这个,另外安卓端确实用不了路由表
    brobird
        106
    brobird  
       2016-04-22 23:08:59 +08:00
    @halczy 改成 103.0.0.0/255.128.0.0 就行
    okudayukiko0
        107
    okudayukiko0  
       2016-04-24 18:08:09 +08:00 via Android
    @halczy 試了你的方法 也就是調整 sysctl 和 ifconfig 參數
    發現調整後 ocserv 快了一些
    但如果 ocserv 的 udp-port 沒有註釋掉 這麼做反而可能更慢。
    我的是新加坡的 VPS , HTTP 下載 File 能有 300K/s 左右。
    網上很多文章都找過了,改 ocserv.conf 改了 N 次,但是速度都只有 50K/s 左右。
    okudayukiko0
        108
    okudayukiko0  
       2016-04-24 18:10:32 +08:00 via Android
    Output buffer 都設得比較大了
    Net pri 那行設為 5
    okudayukiko0
        109
    okudayukiko0  
       2016-04-24 18:29:54 +08:00 via Android
    要是使用 SS 就有 420K/s
    用 OCSERV 只有 100K/s
    Ocserv 速度緩慢
    okudayukiko0
        110
    okudayukiko0  
       2016-04-24 18:32:44 +08:00 via Android
    目前 ocserv 能有 175K/s
    反正 ocserv 速度緩慢 應該是 ocserv 自身的問題
    不知道是哪兒的問題。
    okudayukiko0
        111
    okudayukiko0  
       2016-04-24 18:41:53 +08:00 via Android
    不使用 sysctl 優化的話 ocserv 只有 50K/s
    wy7854998
        112
    wy7854998  
       2016-04-27 12:27:56 +08:00
    使用 anyconnect 经常会出现掉线的情况,具体是 vpn 显示已连接,但客户端到服务器不通,无法上网,观察上下行数据,会发现只有上行没有下行,如果不管它就一直这样了。重新连接一次又恢复正常,但过段时间还是上不了网,只有上行没有下行。请问知道如何做调整吗?请教下。谢谢
    halczy
        113
    halczy  
    OP
       2016-04-27 13:04:04 +08:00
    @okudayukiko0 如果本身延迟高的话,用 OCSERV 的损耗会比较大。特别是不开 UDP 的情况下。可以试试 Windows 版的 AnyConnect 看看是性能问题还是网络问题。

    @wy7854998
    检查一下
    #idle-timeout = 1200
    #mobile-idle-timeout = 2400
    这些注释掉没有。
    wy7854998
        114
    wy7854998  
       2016-04-27 18:34:47 +08:00
    @halczy 已经是注释掉了。请问有什么建议帮我解决呢?是不是取消注释?
    halczy
        115
    halczy  
    OP
       2016-04-27 20:02:37 +08:00   ❤️ 1
    @wy7854998

    你说的症状比较像断线重新认证这个环节出问题了。你试试连到我提供的那个服务,先排除是否你本地网络有问题。

    或者试试以下配置
    keepalive = 32400
    dpd = 30
    mobile-dpd = 90
    cookie-timeout = 86400
    persistent-cookies = true
    deny-roaming = false
    auth-timeout = 180
    predictable-ips = false
    wy7854998
        116
    wy7854998  
       2016-04-27 20:50:37 +08:00
    好 我先按你方法修改调整测试下 谢谢你的帮忙 晚点我在过来反馈。
    jsteward
        117
    jsteward  
       2016-06-29 21:56:44 +08:00
    @halczy 我用 conoha 搭的 ocserv ,没改 buffer ,用站长工具测得延迟和你的差不多,可是我挂了 AnyConnect 后基本要等四秒正在链接才能打开谷歌,你的只要 2 秒不到,为啥呢。。
    jsteward
        118
    jsteward  
       2016-06-29 21:58:39 +08:00
    @ halczy 最严重的时候有 10 秒左右才能变成加载而不 是连接。。
    halczy
        119
    halczy  
    OP
       2016-06-29 23:45:27 +08:00 via iPhone
    @jsteward 检查一下 UDP 端口有没有设定好。 UDP 连不上会跳回默认的 TCP , TCP 效率很低,响应慢。
    jsteward
        120
    jsteward  
       2016-06-30 00:19:32 +08:00
    @halczy tcp 和 udp 用的是一样的,是啥我就不说了(难道还有特定的端口效率低下。。) 还有我客户端上 Transport protocol 是 DTLS
    jsteward
        121
    jsteward  
       2016-06-30 00:31:38 +08:00
    @halczy 我现在非常尴尬,打开谷歌前十秒连 SSL 证书都拉不回来 证书拉回来了(正在连接的阶段过去了)基本网页秒开 ( youtube 至少 360p 能随意拖动进度条 720p 沒试过(客户端不支持),只是开始视频之前要等很久)
    halczy
        122
    halczy  
    OP
       2016-06-30 00:40:16 +08:00
    @jsteward 看看是不是 DNS 响应慢?设置里换 DNS 试试。
    jsteward
        123
    jsteward  
       2016-06-30 01:12:44 +08:00
    @halczy ocserv 的还是客户端的?
    halczy
        124
    halczy  
    OP
       2016-06-30 01:28:52 +08:00
    @jsteward ocserv 下发 DNS 设置到客户端,在 ocserv 设置里面改。
    jsteward
        125
    jsteward  
       2016-06-30 01:33:30 +08:00
    @halczy 那个是 8888 和 8844
    jsteward
        126
    jsteward  
       2016-06-30 01:34:09 +08:00
    @halczy 要改成什么比较好呢
    jsteward
        127
    jsteward  
       2016-06-30 02:04:37 +08:00
    @halczy 主要是我设了 no-route 的路由表 拿不准该用日本的还是什么
    jsteward
        128
    jsteward  
       2016-06-30 03:43:31 +08:00
    @halczy 还有 txqueuelen 怎么保存在某个配置文件里的呢 每次重启就没了
    jsteward
        129
    jsteward  
       2016-06-30 07:19:00 +08:00
    @halczy 我在 ipleak.net 上看,我的买的 IKEv2 有一大坨 DNS (美国的 vpn ,美国的 dns ),可是我自己搭的 ocserv 虽然配置里填了 4 条但是 ipleak 上还是只有第一条。。估计我的问题很可能和 DNS 有关
    halczy
        130
    halczy  
    OP
       2016-06-30 11:42:16 +08:00 via iPhone   ❤️ 1
    @jsteward 连上后跑一下测速看看 Ping 是多少。
    jsteward
        131
    jsteward  
       2016-06-30 15:06:59 +08:00
    @halczy 一般不超过 200 你的 DNS 是怎么配置的啊
    以下是 ipleak.net 的信息
    我的服务器:
    http://imgur.com/QJsD4ve
    你的服务器:
    http://imgur.com/0rulSFU
    一直想搞一个用本地 dnsmasq-china-list 的,却总是解析不了
    halczy
        132
    halczy  
    OP
       2016-06-30 15:53:10 +08:00
    @jsteward
    dns = 8.8.8.8
    dns = 4.2.2.1

    有可能是你 VPS 商拦截了 DNS 商,你帖的那台服务器是 Conoha 的 DNS 。
    jsteward
        133
    jsteward  
       2016-06-30 17:38:15 +08:00
    @halczy 这个好一点,不过看到的 DNS 服务器百分之七十是台湾 剩下是美国。。
    halczy
        134
    halczy  
    OP
       2016-06-30 17:40:29 +08:00 via iPhone
    @jsteward DNS 是就近选取的,你的那台离台湾近就先用台湾的解析。
    jsteward
        135
    jsteward  
       2016-06-30 18:28:40 +08:00
    @halczy DNS 还是不行 我架了个 nginx 用来测试 不挂 vpn 秒开,说明网络没问题。路由表绕过了国内 ip (百度等) 连接上之后看到分发路由表。然而挂了 VPN 还是打不开百度(解析超时)
    halczy
        136
    halczy  
    OP
       2016-06-30 18:51:32 +08:00
    @jsteward

    试试使用这组 DNS
    202.38.93.153 (教育网)
    202.141.176.93 (中国移动)
    202.141.162.123 (中国电信)
    jsteward
        137
    jsteward  
       2016-06-30 19:06:04 +08:00
    @halczy 没有劫持么。。感觉很悬。。
    halczy
        138
    halczy  
    OP
       2016-06-30 19:07:08 +08:00
    @jsteward 没有,这是中科大维护的无污染 DNS 。
    jsteward
        139
    jsteward  
       2016-06-30 19:07:34 +08:00
    jsteward
        140
    jsteward  
       2016-06-30 19:13:17 +08:00
    @halczy 还有 那个 DNS 有联通的么
    jsteward
        141
    jsteward  
       2016-06-30 19:23:27 +08:00
    @halczy 国内( http://tools.cloudxns.net/index.php/Index/Diag )走的电信(在安徽,可是我坐标帝都),国外( ipleak.net )是一堆新加坡和美国
    digizer0
        142
    digizer0  
       2016-09-05 16:52:31 +08:00
    @halczy 楼主你好。本人也在尝试搭一台 ocserv 服务器,但是从手机上怎么也连不上,而连你的 any.omicronplus.com 就没问题,所以斗胆问一下,能不能把你的配置文件全部公开一下呢?(当然如有敏感信息尽请随意替换)

    我的情况是这样的:
    ocserv 0.11.4 Macosx 客户端链接正常,但是安卓的 openconnect 以及 cisco anyconnect 都无法工作,个人排错结论是连接能连上,但是客户端 route 不会更新(我用的 default route ,所有 route=项目注释掉),所以安卓只能访问 ocserv 本身,其他地址一律无法通信,很奇怪。不知是不是客户端的 bug ,但是连你的服务器又能正常工作,所以希望能看一下我的配置和你的到底哪里不同。多谢!
    halczy
        143
    halczy  
    OP
       2016-09-05 16:59:24 +08:00
    @digizer0 https://bitbucket.org/snippets/halczy/aopxK

    服务器运行的版本是:
    ocserv 0.11.2
    Compiled with seccomp, tcp-wrappers, oath, radius, gssapi, PAM, PKCS#11, AnyConnect,
    GnuTLS version: 3.2.11
    digizer0
        144
    digizer0  
       2016-09-05 17:05:01 +08:00
    @halczy 感谢楼主秒回。我来和自己的配置对比一下,现在觉得也有可能是编译时候选项设的不一样,总之非常感谢!
    a154415433
        145
    a154415433  
       2016-09-07 21:22:28 +08:00 via Android
    请问可以不用自签#ca-cert = /etc/ocserv/ca-cert.pem ,单独用账户登录?我现在路由装 openconnect 调试不好,可能是证书不对
    a154415433
        146
    a154415433  
       2016-09-07 21:23:33 +08:00 via Android
    @halczy Reply 145
    a154415433 刚刚 via Android
    请问可以不用自签#ca-cert = /etc/ocserv/ca-cert.pem ,单独用账户登录?我现在路由装 openconnect 调试不好,可能是证书不对
    halczy
        147
    halczy  
    OP
       2016-09-07 22:47:50 +08:00
    @a154415433 可以的

    配置文件里启用这一项 auth = "plain[passwd=/etc/ocserv/ocpasswd]"

    然后命令行下 sudo ocpasswd -c /etc/ocserv/ocpasswd 用户名
    a154415433
        148
    a154415433  
       2016-09-08 05:27:49 +08:00 via Android
    @halczy 谢谢~我一直用证书和密码登录~因为是自签证书每次手机访问都是不安全服务器的提示~搞得路由都上不去谢谢…我搞好贴一篇教程在你下面~
    a154415433
        149
    a154415433  
       2016-09-08 07:22:23 +08:00 via Android
    路由还是不能用 openconnect 放弃~
    foxking
        150
    foxking  
       2016-09-21 07:15:58 +08:00
    @halczy 您提供的那个地址 any.omicronplus.com 是不是不能用了,连接可以获得内网地址,但是没有出去的路由。 不过还是谢谢您之前提供过的 ss 免费服务。
    halczy
        151
    halczy  
    OP
       2016-09-21 13:01:43 +08:00   ❤️ 1
    @foxking 已恢复。
    foxking
        152
    foxking  
       2016-09-21 13:19:36 +08:00
    @halczy 十分谢谢。
    tys
        153
    tys  
       2016-10-09 17:25:41 +08:00
    很奇怪,我在 vps 上搭建了 ocserv 服务器,客户端可以连上服务器,就是没流量产生,打不开任何网页。看 vps 上的提示说“ ocserv[3198]: main[user]: xx.xx.xx.xx:64289 user disconnected (reason: unspecified error, rx: 4110, tx: 0)”,请问楼主这是个什么情况?配置文件需要怎么样设置?
    whx20202
        154
    whx20202  
       2016-10-25 14:13:49 +08:00
    求发个配置文件看一下 我也想优化一下
    顺便问一下 VPN 能加速吗? 比如用 KCPTUN 锐速什么的
    我 SS + KCPTUN 能看 1080P VPN 连 360P 都。。。
    halczy
        155
    halczy  
    OP
       2016-10-25 19:33:44 +08:00
    whx20202
        156
    whx20202  
       2016-10-26 21:38:07 +08:00
    @a154415433 可以只用密码登录,而且个人感觉那个 ca-cert 不是服务器证书的 ca 公钥,而是服务器用来鉴别用户身份的
    whx20202
        157
    whx20202  
       2016-10-26 21:40:57 +08:00
    我用你的配置文件配置在我的 VPS ,我还是很慢。。。
    用了你的, 1080P 随便看,我看了 3s 就退出了

    请问你用的什么 VPS ?什么机房什么套餐啊?
    Laygle
        158
    Laygle  
       2016-11-08 18:54:00 +08:00
    这速度也太快了,我用的 VULTR 的洛杉矶机房的慢的要死,撸主能否介绍下怎么优化的?还有你是哪家的 VPS ?
    laiwah
        159
    laiwah  
       2016-11-09 17:21:56 +08:00
    洛杉矶的怎么优化都只能看 480p ,勉强 720p, 还是楼主的阿里云好
    DDDV2V2
        160
    DDDV2V2  
       2016-11-09 20:48:33 +08:00
    @halczy 我连上死也上不了网,能 ping 通 vpn 虚拟网卡和外网网卡,我 iptables 是这样的,能帮我看下么,问题在哪里
    # Generated by iptables-save v1.4.21 on Tue Nov 8 23:07:23 2016
    *nat
    :PREROUTING ACCEPT [0:0]
    :INPUT ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :POSTROUTING ACCEPT [0:0]
    -A POSTROUTING -s 10.12.0.0/24 -o enp0s3 -j MASQUERADE
    COMMIT
    # Completed on Tue Nov 8 23:07:23 2016
    # Generated by iptables-save v1.4.21 on Tue Nov 8 23:07:23 2016
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [40:5733]
    -A INPUT -p udp -m udp --dport 443 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
    -A INPUT -s 10.12.0.0/24 -j ACCEPT
    -A INPUT -j REJECT --reject-with icmp-host-prohibited
    -A FORWARD -s 10.12.0.0/24 -j ACCEPT
    -A FORWARD -j REJECT --reject-with icmp-host-prohibited
    COMMIT
    # Completed on Tue Nov 8 23:07:23 2016
    halczy
        161
    halczy  
    OP
       2016-11-10 10:29:53 +08:00   ❤️ 1
    @DDDV2V2
    应该是 Forward 没打开,试试添加这句到 iptables
    -A FORWARD -d 10.12.0.0/24 -j ACCEPT

    然后打开 /etc/sysctl.conf:
    net.ipv4.ip_forward = 1

    修改好后 sysctl -p /etc/sysctl.conf
    DDDV2V2
        162
    DDDV2V2  
       2016-11-11 01:10:29 +08:00
    @halczy 就差这一条。加上好了。。。谢谢
    zentraedi
        163
    zentraedi  
       2016-11-13 01:28:44 +08:00
    @halczy 大侠现在还有 ss 服务器么?我想付费使用,就是用下 google ,偶尔 YouTube 和手机,可以按流量也可以按月算。诚心求!
    Laygle
        164
    Laygle  
       2016-12-08 02:22:40 +08:00
    撸主,如果想用锐速优化 ANYCONNECT ,该如何搞?
    halczy
        165
    halczy  
    OP
       2016-12-08 03:02:05 +08:00
    @Laygle 锐速会影响 AnyConnect ,出现断流现象。具体为什么不清楚。
    Laygle
        166
    Laygle  
       2016-12-08 11:29:19 +08:00
    @halczy 谢谢回复,你也折腾的够晚。
    JenghongLee
        167
    JenghongLee  
       2017-02-05 23:15:50 +08:00
    你好 我试了下你的服务器 速度很不错。可能也有是 CN2 的缘故吧。我自己用 vultr 的日本机房搭建的 AnyConnect 速度很慢,大概只有 100~200KB/s 。 DNS 换成了科大的。速度仍然没有改善。请问这样的情况正常吗?
    halczy
        168
    halczy  
    OP
       2017-02-06 11:31:44 +08:00
    @JenghongLee 如果你本地网络到 VULTR 速度慢的话,修改 AnyConnect 配置也无法提升多少。
    JenghongLee
        169
    JenghongLee  
       2017-02-06 11:55:49 +08:00
    @halczy 好的,谢谢你的回复。
    JenghongLee
        170
    JenghongLee  
       2017-02-06 12:56:56 +08:00
    @halczy 你好 我还有一个问题想请教下你,如果我想要更改 anyconnect 的连接端口,或者修改用户名和密码我需要怎么做呢?
    halczy
        171
    halczy  
    OP
       2017-02-07 22:28:36 +08:00
    @JenghongLee

    添加密码:
    sudo ocpasswd -c 用户名

    配置文件里面:
    # TCP and UDP port number
    tcp-port = 1234
    udp-port = 5678
    jansony1
        172
    jansony1  
       2017-02-24 13:17:45 +08:00
    nihao
    jansony1
        173
    jansony1  
       2017-02-24 15:38:48 +08:00
    楼主请问一下,我这边按照配置的 VPN 连接没问题,打开谷歌,谷歌搜索都很快,但是搜索出来的网页打开的很慢,打开国内的网页也很慢了。。我在 vultr 日本的服务器,请问有什么建议么
    jansony1
        174
    jansony1  
       2017-02-24 15:40:07 +08:00
    另外,我 vultr 配置的 ss 服务器访问很快,所以我感觉我 Ocsever 这里配置的有问题。
    halczy
        175
    halczy  
    OP
       2017-02-25 15:07:06 +08:00
    @jansony1 检查一下连接是否 DTLS , UDP 端口打开了没有。如果是纯 TCP 连接, AnyConnect 的性能是没有 SS 好。
    kevin139186
        176
    kevin139186  
       2017-03-16 09:54:01 +08:00 via iPhone
    大神,请问证书在哪里下载?感谢!
    foxking
        177
    foxking  
       2017-04-24 00:02:08 +08:00
    @halczy 您好,我可能是您所说的通过 BT 下载影响您的用户,而且我一般也没有下载 BT 的习惯,我平时一般都是通过您的 anyconnect 查看 youtube 。我将您的 anyconnect 设置在路由器上,而且是区分国内外流量,国外流量通过 anyconnect ,而且这两天看到您说是上海的用户,我即通过 routeros 路由器将 p2p 流量 prerouting 中直接从自己的出口出去。我比较奇怪的是 p2p 流量是我这边哪里的软件出去的。我已将您的设置从路由器上退去了,给您添麻烦了,很抱歉。
    halczy
        178
    halczy  
    OP
       2017-04-24 01:06:15 +08:00
    @foxking 你的 IP 段是 101.224.11*.***吗?

    因为服务商那边已经收版权警告两次,第三次就要停机。所以限制的比较严。如果你是那个 IP 段的,希望你能把设置调好,或者使用 P2P 时把 AnyConnect 停掉。
    foxking
        179
    foxking  
       2017-04-24 01:16:32 +08:00
    @halczy 就是,很抱歉,给您添麻烦了。我自己也在查找原因,在确认原因之前,我是不敢用您的 anycconnect 了,给您添麻烦了,实在抱歉,感谢您无私的共享精神。
    halczy
        180
    halczy  
    OP
       2017-04-24 01:23:08 +08:00
    @foxking 没事,已经把你的 IP 段从黑名单去除了。要下 BT 时断开 AnyConnect 就好。
    foxking
        181
    foxking  
       2017-04-27 20:16:02 +08:00   ❤️ 1
    @halczy 你好,我已调整好,请您看一下,如果还有 p2p 流量,请告知我,我立马关掉;此外,还想请教一下例如 popcorn 在线视频这种是不是也被认为是 p2p 流量?谢谢。
    foxking
        182
    foxking  
       2017-04-27 20:20:49 +08:00
    @halczy 有 p2p 你直接把我添加进黑名单,似乎这种应该也算是 p2p 流量吧。
    haha71
        183
    haha71  
       2017-05-22 13:48:39 +08:00
    楼主你好,请问你的 VPS 是用哪一家的,速度不错,求推荐。另外,我之前在 bwg 部了一套 ocserv,一直正常,但近日发觉连上后,无论手机还是电脑,访问网址都会提示 DNS 解析失败,有点奇怪。
    halczy
        184
    halczy  
    OP
       2017-05-24 21:54:45 +08:00
    @haha71 VPS 目前是用 Psychz Networks 的。配置文件里 DNS=X.X.X.X 那里有没有配置好?如果配置好了可以试试更换其他公共 DNS。
    wzpsxx
        185
    wzpsxx  
       2017-07-01 21:01:25 +08:00
    @halczy 您好,看了您对 annyconnect 的优化,自己也试了一下,但是没什么效果,我只是一个普通的程序员,对服务器这一块也不是很懂,不过工作中经常需要翻墙拿资源或者是查文档,能麻烦您加一下我的QQ 799208766,帮我看下服务器的问题么,谢谢!
    youwei5683
        186
    youwei5683  
       2017-10-28 13:30:30 +08:00
    你好请问 尝试优化了一下 AnyConnect(ocserv)的配置 这个怎么优化呢? 我在 IOS 上连接。太慢了
    youwei5683
        187
    youwei5683  
       2017-10-28 15:20:09 +08:00
    请大神留下联系方式 小白求多多请教
    youwei5683
        188
    youwei5683  
       2017-10-29 16:28:02 +08:00
    @halczy 你好我的 ocserv 搭建好了。访问 GOOGLE 有时候随机断网什么鬼
    halczy
        189
    halczy  
    OP
       2017-10-29 17:08:35 +08:00
    @youwei5683 断网和你访问什么网站是没有关系的。可能是网络不稳之类的。ocserv 会自动重连,和有断流检测,稍等一下就会自己修复。

    断流检测间隔是你设置 dpd = ? 的秒数。
    如果断流很频繁可以关闭 udp,也就是注释掉 udp-port = ?
    youwei5683
        190
    youwei5683  
       2017-11-02 10:08:59 +08:00
    @halczy 好像有点用。大神能留个联系方式吗?
    youwei5683
        191
    youwei5683  
       2017-11-02 10:17:51 +08:00
    @halczy 只开 TCP youtube 视频放不出来呢?
    youwei5683
        192
    youwei5683  
       2017-11-02 11:52:21 +08:00
    @halczy 这是我的配置文件 大神看看哪里需要调整一下
    auth = "certificate"
    # TCP and UDP port number
    tcp-port = 443
    #udp-port = 443
    run-as-user = nobody
    run-as-group = daemon
    socket-file = /var/run/ocserv-socket
    server-cert = /etc/ocserv/server-cert.pem
    server-key = /etc/ocserv/server-key.pem
    ca-cert = /etc/ocserv/ca-cert.pem
    isolate-workers = true
    max-clients = 60
    max-same-clients = 0
    keepalive = 32400
    dpd = 1
    mobile-dpd = 90
    try-mtu-discovery = true
    cert-user-oid = 2.5.4.3
    tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"
    auth-timeout = 180
    min-reauth-time = 300
    max-ban-score = 50
    ban-reset-time = 300
    cookie-timeout = 86400
    persistent-cookies = true
    deny-roaming = false
    rekey-time = 172800
    rekey-method = ssl
    use-occtl = true
    pid-file = /var/run/ocserv.pid
    device = vpns
    predictable-ips = false
    default-domain = example.com
    ipv4-network = 192.168.1.0
    ipv4-netmask = 255.255.255.0
    dns = 8.8.8.8
    ping-leases = false
    mtu = 1420
    output-buffer = 10
    route =default
    halczy
        193
    halczy  
    OP
       2017-11-02 13:35:22 +08:00
    @youwei5683 配置没什么问题。

    TCP 部分网站上不了可能时 TCP MTU 问题,命令行下
    sudo iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    xiaoun001
        194
    xiaoun001  
       2017-11-19 11:00:59 +08:00   ❤️ 1
    @halczy 谢谢楼主。
    之前是因为捣鼓 CISCO ASA 流量分割功能 ,搜索到 OCSERv,来到你的帖子。颇有收获,很感谢。
    楼主的服务器,是我目前见过最好的!!!所以即使付费,我也愿意!!!
    我也看到,楼主一直有不断优化路由表,也看出楼主思路。减小国内不必要流量经过服务器,确保带宽有效利用,确保服务器压力最小。
    1、确保墙外流量走楼主服务器。 2、确保国内流量走用户本地。
    CNNIC 的国内路由表是 7900 多条,OCSERv 路由表限制在 64 条(?),因此根本无法实现精准分割。所以,需要我们用户共同来爱护,维护。毕竟现在出国的路不多了。
    我有一个想法,并且付诸实施,效果还不错。在我们家里的网络,再加一层路由,并且先于楼主的路由表,由客户端路由表实现流量精准分割。国内的匹配国内路由表( 7900 ),走自己的出口。其它按默认路由,走楼主的出口(做 NAT ),效果不错。就是费点功夫。
    优点如下:
    1、可以自己指定 DNS。
    2、可以极大减轻服务器流量及性能压力。
    3、可以极大优化访问国内速度(走自己的线路)

    最后,再次谢谢楼主。真诚感谢。 能把线路精雕细琢到如此程度,能够做到秒开 YOUTUBE,GOOGLE 的,真的很是佩服。
    毕竟,不算上设备延迟,仅仅美国到中国光纤理论最短延迟,也在 130ms 多(目前来说无可避免,也无法优化),真的很佩服楼主。
    再一次感谢。
    youwei5683
        195
    youwei5683  
       2017-11-20 14:20:30 +08:00
    @halczy
    你好我在 openwrt 下链接您的服务器 报以下错误能帮忙看看么
    root@LEDE-X64:~# openconnect 103.85.187.19
    POST https://103.85.187.19/
    Connected to 103.85.187.19:443
    SSL negotiation with 103.85.187.19
    Server certificate verify failed: certificate does not match hostname

    Certificate from VPN server "103.85.187.19" failed verification.
    Reason: certificate does not match hostname
    To trust this server in future, perhaps add this to your command line:
    --servercert sha256:eb429408d30af27935eb1887948af02346a8820ec305d0b3ea04dd4304ba95dd
    Enter 'yes' to accept, 'no' to abort; anything else to view: yes
    Connected to HTTPS on 103.85.187.19
    XML POST enabled
    Please enter your username.
    Username:v2ex
    POST https://103.85.187.19/auth
    Please enter your password.
    Password:
    POST https://103.85.187.19/auth
    Got CONNECT response: HTTP/1.1 200 CONNECTED
    CSTP connected. DPD 60, Keepalive 32400
    Connected as 172.16.100.107 + 2001:470:f04c:e3a9:9746:1706:b3ee:6f71/64, using SSL
    Established DTLS connection (using GnuTLS). Ciphersuite (DTLS1.2)-(PSK)-(AES-256-GCM).
    Script '/lib/netifd/vpnc-script' returned error 1
    Script '/lib/netifd/vpnc-script' returned error 1
    Failed to write incoming packet: I/O error
    xiaoun001
        196
    xiaoun001  
       2017-11-29 15:16:29 +08:00
    @halczy
    麻烦大神,我这是进了贵服黑名单的节奏,还是被 GFW 给盯上了?
    能够认证通过,获取路由表,就是不停的重连获取地址,提示 Reconnect gave different Legacy IP address (172.16.100.96 != 172.16.100.165)。
    小弟的外网地址是 220.165.*.* (拨号获得的动态地址)

    ... ...
    2017-11-29 14:44:30 | 358 | X-DTLS-CipherSuite: PSK-NEGOTIATE
    2017-11-29 14:44:30 | 358 | X-CSTP-Base-MTU: 1406*2
    2017-11-29 14:44:30 | 358 | X-CSTP-MTU: 1340
    2017-11-29 14:44:30 | 358 | Reconnect gave different Legacy IP address (172.16.100.96 != 172.16.100.165)
    2017-11-29 14:44:30 | 358 | sleep 10s, remaining timeout 60s
    2017-11-29 14:44:40 | 358 | SSL negotiation with 23.228.222.142
    2017-11-29 14:44:41 | 358 | Server certificate verify failed: certificate does not match hostname
    2017-11-29 14:44:41 | 358 | Connected to HTTPS on 23.228.222.142
    2017-11-29 14:44:44 | 358 | Got CONNECT response: HTTP/1.1 200 CONNECTED
    ... ...
    halczy
        197
    halczy  
    OP
       2017-11-29 15:51:16 +08:00   ❤️ 1
    @xiaoun001 没有进黑名单,这台机版本是有这个问题,一直没时间去弄。明天再试试吧。
    halczy
        198
    halczy  
    OP
       2017-11-29 15:52:34 +08:00   ❤️ 1
    @xiaoun001 另外是用 AnyConnect 还是 OpenConnect 客户端。什么系统 /平台上用?
    xiaoun001
        199
    xiaoun001  
       2017-11-29 20:59:32 +08:00
    @halczy 两个我都测试了。

    以下均在电信 220.165.*.* 同一网络下测试。

    家里的网络环境:
    1、电信 100Mbps FTTB 对称网络,有动态公网地址,未多拨。
    2、移动 50Mbps 非对称 FTTH,上行在 25Mbps 左右,未多拨,无公网 IP 地址。
    使用:
    路由策略,移动目标走移动,其它全部默认走电信。

    1、出现前述故障的是:Debian 9 + OpenConnect 命令行客户端 ,是通过 apt-get install 直接安装的。基于家里的 KVM 虚拟机安装,用作家庭路由器。做的策略是,国内目标走我自己的双线,国外目标走贵服(就是我一个人用),突然想起之前添加 --no-dtls,把 DTLS 关掉就可以拨上了,刚才试了一下,果然成功了,开 DTLS 就会掉。大概在两三个月前,也遇到一次。后来不知怎么又好了,今天突然就又不好了,还原镜像,重装客户端也不好。
    用该 OpenConnect 客户端,在局域网连接我自己做的 OCSERv,版本 ocserv 0.11.9 GnuTLS version: 3.5.8 未见此现象,目视正常(强制关闭了整个环境的 IPV6 支持)

    2、在 windows 环境安装 GUI 版本的 OpenConnect,也出现前述故障。

    3、电信拨号环境 Cisco AnyConnect 4.4 电脑端连 23.x.x.x 服务器,会断开一次重连,而后又稳定了。之前在贵服从来没有遇到过。

    4、Iphone6 Cisco AnyConnect 4.4 完全正常。

    5、谢谢楼主,我是一个深度网络技术迷,目前着眼于利用开源技术 DIY 自己想要的东东,很愿意和你交朋友。h

    6、谢谢!
    xiaoun001
        200
    xiaoun001  
       2017-11-29 21:03:17 +08:00
    @halczy 这几个月捣鼓 OCSERv,在 DNS 上有一些收获,分享一下:
    1、我尝试在自己的 OCSERv 上做了一个本地 Dnsmasq 缓存,然后将 OCserv 的 DNS 指向本服,我发现,上网体验,优化了很多呢。
    2、分享几个 DNS,我搜集的。
    nameserver 106.14.152.170
    nameserver 178.79.131.110
    nameserver 101.6.6.6
    nameserver 202.141.162.123
    1  2  3  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5320 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 01:29 · PVG 09:29 · LAX 17:29 · JFK 20:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.