Vpn

作者: 黄高明 日期: 2019-06-14 类别: vpn系列标题: CentOS7使用Ocserv搭建CiscoAnyconnect服务器介绍AnyConnect作为Cisco专有技术，其服务端只能运行在Cisco设备上，即如果没有购买Cisco相关设备，将无法使用AnyConnect服务端。而OpenConnect(ocserv)的出现解决了这一个问题，OpenConnect是一个开源项目，其目标是在相对廉价的linux设备上运行与AnyConnect协议兼容的服务端，以此来使用该协议而不需要购买Cisco专有设备。AnyConnect目前支持 Windows 7+ / Android / IOS / Mac ，其他设备没有客户端所以无法使用，例如 XP系统。 OpenConnect特点： 我们需要的是安全内网访问，不是快速地绕过防火墙… 而且后期需要加入证书认证OpenVPN 协议特征过于明显，虽然 AnyConnect 协议特征也十分明显，但是由于目前只有一些大厂在用，一般而言直接拨位与海外的 VPN 网关不容易受到干扰或受到的干扰较小对于例如 iOS/BlackBerry BBOS 系统而言，一般自带 AnyConnect 连接工具多系统支持，Windows 7+ / Android / IOS / Mac部署请撮:https://www.pvcreate.com/index.php/archives/193/ 配置主配置文件/etc/ocserv/ocserv.conf 注意以上一键部署脚本会自动添加route配置，如果你想连接上anyconnect之后，全部流量都走vpn的话，请注释该配置文件以route开头的配置。如果只有部分网段走vpn的话，可以自行配置。比如连接上vpn之后，只有访问公司192.168.0.0/25网段才走vpn，可以在该配置文件之后添加route=192.168.0.0/255.255.255.0auth = "plain[passwd=/etc/ocserv/ocpasswd]"tcp-port = 443udp-port = 443run-as-user = ocservrun-as-group = ocservsocket-file = ocserv.sockchroot-dir = /var/lib/ocservisolate-workers = truemax-clients = 1024max-same-clients = 10keepalive = 32400dpd = 90mobile-dpd = 1800switch-to-tcp-timeout = 25try-mtu-discovery = falseserver-cert = /etc/pki/ocserv/public/server.crtserver-key = /etc/pki/ocserv/private/server.keytls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-VERS-SSL3.0"auth-timeout = 240min-reauth-time = 300max-ban-score = 50ban-reset-time = 300cookie-timeout = 86400deny-roaming = falserekey-time = 172800rekey-method = ssluse-occtl = truepid-file = /var/run/ocserv.piddevice = vpnspredictable-ips = trueipv4-network = 192.168.8.0/21dns = 8.8.8.8dns = 8.8.4.4ping-leases = falsecisco-client-compat = truedtls-legacy = true参数解释 ...

日期：2019-06-14 类别：vpn系列 标题：通过脚本一键安装ocserv 来源：github名称结果备注实测环境centos7.3实测通过支持平台CentOS/RedHat 7 git路径ocserv-auto.sh 脚本名称ocserv-auto.sh 执行方式/bin/bash ocserv-auto.sh 是否需要传参数否 是否有配置参数否 操作说明执行/bin/bash ocserv-auto.sh即可完成一键安装，安装过程会交互式提示需要输出账号密码安装完成会自动添加到开启启动项 相关常用命令如下 创建用户ocpasswd -c /etc/ocserv/ocpasswd user 删除用户ocpasswd -c /etc/ocserv/ocpasswd -d user 启动服务service ocserv start 关闭服务器service ocserv stop 重启服务service ocserv restart easyconnect客户端官方客户端地址: https://software.cisco.com/download/home/286281283/type/282364313/release/4.7.03052 安卓版本下载地址: https://play.google.com/store/apps/details?id=com.cisco.anyconnect.vpn.android.avf&hl=zh ios下载： 在app store中搜索anyconnect安装即可 如果以上网址打开，可以在我的git下载: https://gitee.com/lookingdreamer/SPPPOTools/tree/master/centos/vpn/anyconnect/client ios客户端使用示例1.在app store 搜索anyconnect下载安装2.打开客户端在 设置处 关闭阻止不信任的服务器因为脚本默认采用的自签名证书,同时第一次的连接时候也会提示不信任的服务器，选择继续即可 3.新建服务器配置，输入脚本创建用户名和密码即可 相关文章序号标题1通过脚本一键安装ocserv(anyconnect服务端)2CentOS7使用Ocser搭建CiscoAnyconnect服务器(配置使用)3通过脚本一键安装openvpn4OpenVPN同时监听TCP和UDP端口5CentOS 7安装配置PPTP

前言Cisco AnyConnect 为思科推出的 VPN 客户端，当前已有 Windows、Android、iOS、OS X、Ubuntu、WebOS 等操作系统的客户端。AnyConnect 主要作用是方便员工在任何设备上安全地办公。 Cisco AnyConnect 客户端安装配置和默认地址修改技巧更新历史2019年05月24日 - 初稿 阅读原文 - https://wsgzao.github.io/post... 扩展阅读 Cisco AnyConnect Secure Mobility Client https://www.cisco.com/c/en/us...Cisco AnyConnect 简介无需介绍Cisco AnyConnect 配置macOS 系统安装只安装 VPN 组件 , 其他功能都不需要安装macOS和Windows都建议取消勾选Block Connections to untrusted servers Cisco AnyConnect 修改默认链接地址Change Local Policy Parameters Manually Step 1Retrieve a copy of the AnyConnect Local Policy file (AnyConnectLocalPolicy.xml) from a client installation. Table 1. Operating System and AnyConnect Local Policy File Installation PathOperating System ...

timemachine由于需要较大的传输宽带，通常用于局域网进行备份。随着宽带的带宽不但提升，进行远程备份的需求越来越强烈，最近研究了一下timemachine进行远程备份的方案分享给大家。 前置要求1.timemachine服务器2.支持vpn的路由器3.外网ip 如何获取条件1和条件2需要你的路由器本身自带这些服务，或者是你的路由器基于openwrt方案的，那么你可以在网上找到这两种服务软件的方案。条件3 你可以打电话给对应的电信服务提供商向他们索取 如何使用1.连上路由器的vpn2.打开finder,然后Command+K会调出一个添加服务器的地址，输入afp://[你的timemachine内网地址]，这时候在打开timemachine，点击选择磁盘就可以看到对应的服务器了

update @2018/05/21 update @2019/01/07背景公司在北京、上海、成都等地有多个办公区，办公区之间因为开发便利和业务往来需要建立安全的 vpn 隧道，经过调研，我们使用了优秀的开源 VPN 服务软件 SoftEtherVPN。1. 安装 VPN Server 4.25yum -y groupinstall “Development Tools”#yum -y install ncurses-devel openssl-devel readline-develtar xf softether-vpnserver-v4.25-9656-rtm-2018.01.15-linux-x64-64bit.tar.gzchmod -R 755 vpnserver/mv vpnserver/ /usr/local/ && cd /usr/local/vpnservermake./vpnserver startnetstat -ntlp2. 添加开机启动脚本cat >> /etc/init.d/vpnserver << EOF#!/bin/sh# chkconfig: 2345 99 01# description: SoftEther VPN ServerDAEMON=/usr/local/vpnserver/vpnserverLOCK=/var/lock/subsys/vpnservertest -x $DAEMON || exit 0case “$1” instart)$DAEMON starttouch $LOCK;;stop)$DAEMON stoprm $LOCK;;restart)$DAEMON stopsleep 3$DAEMON start;;*)echo “Usage: $0 {start|stop|restart}“exit 1esacexit 0EOFchmod 755 /etc/init.d/vpnserver/sbin/chkconfig –add vpnserver/etc/init.d/vpnserver stop/etc/init.d/vpnserver start3. 开启AD认证vim /usr/local/vpnserver/src/Cedar/Server.c以CN为关键字搜索，将ret = true;修改为ret = false;4. 端口映射及说明要在外网使用全功能的VPN服务器，需要映射如下端口：TCP：443 992 1194 5555 UDP：500 4500其中：tcp的443是softether client默认连接的端口，至少要保留这一个端口，或者修改为其它端口；tcp的1194是openvpn client的默认连接端口，可以修改客户端连接配置文件里的端口为443, 因此这个端口可以禁用；tcp的992是telnet的ssl端口, 如果443无法连接则可使用该端口，它是额外冗余端口，可以禁用；tcp的5555也是 softether 在443和992 之外冗余的端口，可以禁用；udp的500和4500是使用l2tp协议时需要用到的端口，主要是支持Android、IOS、Mac OSX连接服务器使用的；终上所述：当只需要在windows上使用 vpn client 客户端 或在 linux 上 使用 openvpn 连接时，只需要开启tcp的443即可，openvpn 的配置文件连接端口要修改为443； 防火墙只需要映射端口443（防火墙不区分tcp和udp）。当需需要手机、Mac连接时，需要额外开启500和4500。 防火墙需要映射端口443、500、4500（防火墙不区分tcp和udp）。4. 禁用动态DNS功能魔障一般的提示==This feature is not supported. It hasn’t been implemented yet on the open-source version of SoftEther VPN==这个提示是说"没有在开源版本的softether vpn上实现，并不是softetherVPN没有这个功能，而是它通过动态dns连到服务器进行判断，检测到是大陆的用户就会弹框提示：从VPN更新日志可以看到，因为国家安全问题，大陆政府要求VPN开发者必须遵从RPC的原则，希望大陆用户都使用 softether.cn 提供的商业产品，但它是付费使用，我们暂时没有相关经费，所以只能选择开源产品。https://www.softether.org/5-d…因此我们要停用动态 DNS 的功能，也就是说你想在家里搭建一个VPN服务器，那就不可能了，好在公司申请了公网ip，可以映射端口。service vpnserver stopsed -i ‘/Disabled/ s/false/true /g’ /usr/local/vpnserver/vpn_server.configservice vpnserver start https://www.softether.org/4-d… ...

即日起，众所周知的原因，SegmentFault 社区将禁止发布 VPN 类交易、搭建、推广的相关内容，一些技术探讨类的内容是被允许的。希望社区用户能理解，一起为中文开发者社区创造一个良好的技术交流环境。随着 SegmentFault 社区在中文开发者社区得到越来越多的关注，很多厂商也会选择在 SF 社区建立官方账号，发布技术内容，我是非常欢迎和鼓励互联网技术团队入驻 SF 社区发布有价值的技术内容的。同时有个别厂商，也恶意的发布和滥用社区，发布各种骚扰式的推广内容，近期我们也已经删除和封禁了上百个账号，此处居多的是很多技术培训机构。我们不反对在 SF 社区推广你们的产品和品牌，但是不要滥用社区，你不尊重这里的规则，不把这里当回事，别人也不会尊重你。如果你想在社区推广自己的品牌，请根据社区规范建立你的账号，发布有价值的技术内容；你也可以联系官方投放社区广告，推荐你们的服务和产品。官方的精力有限，有很多恶意内容未必能第一时间发掘，也欢迎广大用户积极的举报违规内容，我们收到后会第一时间进行处理，一起努力营造良好的技术交流环境。

Google 开源了其 TCP BBR 拥塞控制算法，并提交到了 Linux 内核，从 4.9 开始，Linux 内核已经用上了该算法。部署了最新版内核，开启TCP BBR 加速的 VPS，网速可以提升几个数量级。使用root用户登录服务器，执行以下命令：wget –no-check-certificate https://github.com/teddysun/across/raw/master/bbr.sh && chmod +x bbr.sh && ./bbr.sh安装大概需要两分钟，安装完成后会提示是否重启服务器输入 y 重启服务器重启需要一般只要几秒钟重新连接服务器，验证是否成功安装最新内核并开启 BBR 加速，执行命令：uname -r内核版本显示为最新版就表示 成功了5 $ 服务器优化后 Youtube 可以达到 4K 画质..博客：Mr96.me-玖六先生的自留地