V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
halczy
V2EX  ›  分享创造

尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.

  •  8
     
  •   halczy ·
    halczy · 2015-01-03 09:41:29 +08:00 · 92519 次点击
    这是一个创建于 3613 天前的主题,其中的信息可能已经有所发展或是发生改变。

    优化了一下配置文件. 自己测试从原来1Mbps不到的速度提升到5Mbps左右. 通过iperf测试 电信到服务器的单线带宽是应该有20Mbps左右. 不知道大家有用ocserv架的AnyConnect使用情况是怎么样呢?

    欢迎大家测试一下, 看看速度如何.
    服务器地址: omicronpersei8.ml
    帐号: v2ex
    密码: v2ex
    高级选项 -> 网络漫游: 打开 (打开后可以自由切换网络不断线, 一天內断网自动重连)

    第 1 条附言  ·  2015-01-03 16:08:47 +08:00
    电信出口又开始大范围丢包了, 所以现在会很慢. 大家可以改天再试. 帐号我会尽量保持开通, 除非是有人故意捣乱.
    第 2 条附言  ·  2015-05-19 18:14:14 +08:00
    因原域名故障, 服务器地址改为: any.omicronplus.com
    第 3 条附言  ·  2022-03-23 08:51:17 +08:00
    因为先前服务器下发配置有误,部分客户端获取了错误的配置后,出现了无法访问等报错。如果出现了这个问题,可以试着删除原有的配置,再重新连接服务器。

    配置文件地址
    Windows:
    %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Profile

    Mac OS X:
    /opt/cisco/anyconnect/profile

    Linux:
    /opt/cisco/anyconnect/profile
    第 4 条附言  ·  2022-11-10 14:44:38 +08:00
    22 年 10 月左右所有服务器的 IPv4 都被封了,即便更换端口也会几分钟内封掉。这个也不清楚什么时候能够放出来。目前 IPv6 还是能够正常链接的。例如国内三大运营商的手机网络默认都会配有 IPv6 ,在手机上可以直接使用。家庭网络的话,注意路由器开放 IPv6 下发。
    256 条回复    2023-08-13 16:17:31 +08:00
    1  2  3  
    ericFork
        1
    ericFork  
       2015-01-03 09:52:30 +08:00
    优化了啥?
    halczy
        2
    halczy  
    OP
       2015-01-03 10:02:12 +08:00   ❤️ 4
    @ericFork

    配置文件:
    output-buffer = 23000
    try-mtu-discovery = true

    服务器:
    net.core.rmem_max = 67108864
    net.core.wmem_max = 67108864
    net.ipv4.tcp_rmem = 4096 87380 33554432
    net.ipv4.tcp_wmem = 4096 65536 33554432
    net.core.netdev_max_backlog = 30000
    net.ipv4.tcp_mtu_probing=1

    eth0 txqueuelen 10000
    eason
        3
    eason  
       2015-01-03 10:24:29 +08:00
    241Mbps 這那招...
    http://imgur.com/tsAtuZX
    mscdfans
        4
    mscdfans  
       2015-01-03 10:39:48 +08:00   ❤️ 1
    东莞电信看youtube只有几十kb的下载速度
    362335
        5
    362335  
       2015-01-03 11:00:59 +08:00 via iPhone   ❤️ 1
    联通小水管只能看480p 流畅
    http://m.imgur.com/4GDTndB
    362335
        6
    362335  
       2015-01-03 11:03:58 +08:00 via iPhone
    pfitseng
        7
    pfitseng  
       2015-01-03 11:42:55 +08:00 via iPhone
    怎么实现断网重连的?我的貌似断了就断了
    zjgood
        8
    zjgood  
       2015-01-03 12:08:14 +08:00 via Android   ❤️ 1
    我有架,但是速度远不及shadowsocks,我的思路是修改加密算法,但是没成功
    leopard080264
        9
    leopard080264  
       2015-01-03 12:52:45 +08:00
    iOS端连接正常,PC段无法连接
    halczy
        10
    halczy  
    OP
       2015-01-03 14:54:01 +08:00 via iPhone
    @pfitseng 如果iOS链接被断开,例如从WI-FI换到3G。AnyConnect应该会自动连上。这个间隙我设置成1天时间。看看你开了漫游没有。
    halczy
        11
    halczy  
    OP
       2015-01-03 14:57:18 +08:00 via iPhone
    @zjgood 可惜SS不越狱用不了。AnyConnect在手机端很好用,处理内网很不错,很多连不到PPTP,L2TP的地方都可以用,就是太慢了。
    pfitseng
        12
    pfitseng  
       2015-01-03 15:42:19 +08:00 via iPhone
    @halczy 锁屏后再开好像就断掉了
    halczy
        13
    halczy  
    OP
       2015-01-03 15:45:24 +08:00
    @pfitseng 是的, 锁屏会自己断开. 这个是iOS的问题. 但是应该会迅速重连.
    pfitseng
        14
    pfitseng  
       2015-01-03 16:12:54 +08:00
    @halczy 我的好像再开就不重连了,ios8 anyconnect客户端,没越狱

    是要在服务器端设置什么吗
    halczy
        15
    halczy  
    OP
       2015-01-03 16:44:42 +08:00
    @pfitseng 呵呵, 我也不清楚为什么会这样.
    ninjai
        16
    ninjai  
       2015-01-04 00:33:57 +08:00
    @halczy 能说下为什么这么优化么
    halczy
        17
    halczy  
    OP
       2015-01-04 06:56:51 +08:00
    @ninjai

    基本是牺牲Lantancy,加大缓冲来加速。Linux和OpenConnect默认是认为你的网络会在50ms以内。所依缓冲默认很低。但是我们翻墙实际是200ms+左右,加大后速度有所改善。实际原理是为什么我也不清楚。
    ninjai
        18
    ninjai  
       2015-01-04 14:02:16 +08:00
    @halczy 不是缓存低是为了应对延迟高么,缓存高才对应的是延迟低
    halczy
        19
    halczy  
    OP
       2015-01-04 19:48:52 +08:00
    @ninjai 没错啊。如果延迟太高,就调低缓存。有数据就马上发出去。
    kkxxxxxxx
        20
    kkxxxxxxx  
       2015-01-05 12:27:03 +08:00
    @halczy 路由表要不共享出来参考下
    Sunnyyoung
        21
    Sunnyyoung  
       2015-01-06 23:33:33 +08:00
    有无Centos 7的Anyconnect 配置攻略
    nicai
        22
    nicai  
       2015-01-07 17:06:03 +08:00
    https://github.com/wppurking/ocserv-docker
    我按照这里的用容器装的ocserv服务为什么ios能连接上,右上显示vpn框框,但是还是不能翻,不知道为啥
    Sunnyyoung
        24
    Sunnyyoung  
       2015-01-08 13:22:10 +08:00
    halczy
        25
    halczy  
    OP
       2015-01-08 18:09:34 +08:00   ❤️ 1
    @Sunnyyoung 我没有在CentOS上用过,不过应该没问题的。作者不是有CentOS 7的一键安装吗?
    Sunnyyoung
        26
    Sunnyyoung  
       2015-01-08 18:39:16 +08:00
    @halczy 安装成功,但是连接不了= =
    手机是iOS8.1
    halczy
        27
    halczy  
    OP
       2015-01-08 18:42:26 +08:00   ❤️ 1
    @Sunnyyoung

    看看路由表打开了没有。http://imkevin.me/post/80157872840/anyconnect-iphone

    可以的话,建议还是用Ubuntu,CentOS上很多组件版本都很旧,不兼容OCSERV。
    myliyifei
        28
    myliyifei  
       2015-02-05 12:59:55 +08:00
    @halczy 是你自己测试的,还是有优化指南呢
    halczy
        29
    halczy  
    OP
       2015-02-05 13:04:08 +08:00
    @myliyifei

    自己一个一个跟着Document开开关关试的. 不过最新0.9版的开了压缩之后output-buffer不没效果了.
    dynfeisu
        30
    dynfeisu  
       2015-02-10 08:36:06 +08:00 via Android
    "安全网关已拒绝所尝试的连接操作,需要尝试与同一或其他安全网关建立新连接,新连接要求重新进行身份验证。

    ios关闭屏幕后一会提示这个?怎么解决呢
    halczy
        31
    halczy  
    OP
       2015-02-10 10:13:14 +08:00
    @dynfeisu

    你是在用我的还是自己建的出现这个提示?
    dynfeisu
        32
    dynfeisu  
       2015-02-11 14:59:09 +08:00 via Android
    @halczy 那个问题我用了git自己c
    编译的就莫名其妙的解决了。现在不知道如何和freeradius连在一起。不知道有没有教程。装哪个版本的freeradius好呢
    halczy
        33
    halczy  
    OP
       2015-02-11 15:04:38 +08:00
    @dynfeisu 不清楚FreeRadius,不过退回0.8.9版就没有这个问题了。
    TommyLau
        34
    TommyLau  
       2015-02-12 14:54:48 +08:00   ❤️ 1
    最近发现这货,用了一下,iPhone 终于可以愉快地上网了,顺便分享个 Docker

    https://registry.hub.docker.com/u/tommylau/ocserv/
    jaleo
        35
    jaleo  
       2015-02-13 09:55:48 +08:00
    @halczy 请问 服务器的参数在哪里改?我得是centos 7 谢谢
    ricarekin
        36
    ricarekin  
       2015-02-15 09:27:50 +08:00
    @halczy vps是centos7,有没有设置anyconnect的教程?谢谢
    flintthuang
        38
    flintthuang  
       2015-03-13 19:21:30 +08:00
    能贴下配置吗?我配置的ocserv在iOS可以正常连接,但是pc端一直连接不上。
    pk000
        39
    pk000  
       2015-05-21 12:40:55 +08:00
    更换域名后会出现证书错误,证书还是用原来的域名。
    halczy
        40
    halczy  
    OP
       2015-05-21 12:59:32 +08:00 via iPhone
    @pk000 呵呵,还没来得及换证书。
    cnZary
        41
    cnZary  
       2015-05-21 15:12:53 +08:00 via Android
    隧道模式,所有流量怎么弄得?
    cnZary
        42
    cnZary  
       2015-05-21 15:14:41 +08:00 via Android
    用了你的,连上后提示隧道模式 所有流量
    我自己搭建的提示隧道模式 拆分包含
    halczy
        43
    halczy  
    OP
       2015-05-21 16:05:25 +08:00
    @linzianplay

    所有带有 route = xxx.xxx.xxx.xxx 的都注释掉.

    #route = 192.168.1.0/255.255.255.0
    #route = 192.168.5.0/255.255.255.0
    cnZary
        44
    cnZary  
       2015-05-21 16:13:44 +08:00
    @halczy 我没去掉这些依然可以登录那些网站的说,另外,我那些注释掉了,添加了
    route = 0.0.0.0/128.0.0.0
    route = 128.0.0.0/128.0.0.0
    cnZary
        45
    cnZary  
       2015-05-21 16:27:40 +08:00
    自己的服务不知道为什么慢成狗了,shadowsocks又很快,
    你的那个比我好很多呢
    halczy
        46
    halczy  
    OP
       2015-05-21 16:43:03 +08:00
    @linzianplay 不影响就好. 如果我的这个快, 可以随便用.
    cnZary
        47
    cnZary  
       2015-05-21 16:52:18 +08:00
    @halczy Thank,我再捣鼓捣鼓
    wclebb
        48
    wclebb  
       2015-06-15 21:41:42 +08:00
    @halczy 我想问问为什么提示错误:ERROR: ca-cert.pem NOT Found !!!
    我已经把可以正常运行的 SSL CA 证书拉入这里了,并且改名。
    zwen.me,可以访问。
    所以试着把 CA 证书拉入你说的 OCSERV 文件夹里。
    就报错了:ERROR: ca-cert.pem NOT Found !!!

    pem 内容有误?我把三个 CA 根证书合并成一个 CA 证书的并且通过SSL 链接。
    wclebb
        49
    wclebb  
       2015-06-17 22:28:38 +08:00
    @halczy 非常感谢你制作这一键脚本。
    deyxy
        50
    deyxy  
       2015-06-22 12:42:10 +08:00
    AnyConnect不能使用了,能否给个密码?邮箱: [email protected]
    halczy
        51
    halczy  
    OP
       2015-06-23 20:23:33 +08:00
    @deyxy 已经修复了。过几天换到更稳定的服务器。
    lumen
        52
    lumen  
       2015-07-24 16:52:28 +08:00
    halczy · 202 天前 · 5678 次点击

    良心,多谢了!
    tzw1997
        53
    tzw1997  
       2015-08-09 09:35:28 +08:00
    前几天一直链接好好的,今天不管手机还是pc都链接不上服务器,希望楼主尽快查明情况,谢谢
    halczy
        54
    halczy  
    OP
       2015-08-09 09:52:16 +08:00
    @tzw1997 有没有错误消息? 刚刚自己试了一下是正常的. 还有其他人在上面.
    tzw1997
        55
    tzw1997  
       2015-08-09 10:08:38 +08:00
    connection attempt has timed out.please verify internet connectivity.不知道什么原因,手机显示的是中文错误u,不过意思一样。昨天晚上还好好的
    tzw1997
        56
    tzw1997  
       2015-08-09 10:10:52 +08:00
    @halczy 不好意思啊,重装后连上了,可能本地文件有损坏吧,还是谢谢啦!
    604542720
        57
    604542720  
       2015-08-17 21:04:15 +08:00
    请问 有时候连接经常出现 无法连接到服务器,请验证 internet 连接和服务器地址是怎么回事
    604542720
        58
    604542720  
       2015-08-17 21:05:14 +08:00
    我确认服务器地址应该是正确的,如果楼主方便的话,可否发一份配置文件到我邮箱: [email protected] 非常感谢
    deepweb
        59
    deepweb  
       2015-09-03 00:32:55 +08:00
    感谢为人民服务的楼主
    pk000
        60
    pk000  
       2015-09-07 23:47:03 +08:00 via iPhone
    最近好像连接都显示证书不可信任,不知道是什么原因?
    halczy
        61
    halczy  
    OP
       2015-09-09 22:18:47 +08:00 via iPhone
    @pk000 证书没有变过。注意看一下内容,是 Startcom 的证书,如果域名对就应该没问题。
    Dennypalace
        62
    Dennypalace  
       2015-09-10 21:55:30 +08:00
    @halczy 你好,我也是按照那个 github 上分享的 centos7 一键安装 Ocserv ,它的脚本提供了路由表,如下:
    sed -i 's$route = 192.168.1.0/255.255.255.0$#route = 192.168.1.0/255.255.255.0$g' "${confdir}/ocserv.conf"
    sed -i 's$route = 192.168.5.0/255.255.255.0$#route = 192.168.5.0/255.255.255.0$g' "${confdir}/ocserv.conf"
    cat << _EOF_ >>${confdir}/ocserv.conf
    # Apple
    route = 17.0.0.0/255.0.0.0
    route = 192.12.74.0/255.255.255.0
    route = 192.42.249.0/255.255.255.0
    #route = 204.79.190.0/255.255.255.0
    #route = 63.92.224.0/255.255.224.0

    我把后面这些以 route 起头的全部标注了,安装完成后能登陆,但 google 这些就打不开,国内的域名就能正常开,不知道他说的如果想全局的话注释掉所有 route 怎么弄,谢谢。
    halczy
        63
    halczy  
    OP
       2015-09-10 22:00:46 +08:00 via iPhone
    @Dennypalace 把所有 route = xxx 这些删掉后就是全局。连上后进客户端里看是不是 0.0.0.0 / 0.0.0.0
    Dennypalace
        64
    Dennypalace  
       2015-09-10 22:03:07 +08:00
    @halczy 好的。。我明天试试,前面那 2 段 sed 开头的不用动吧。。就是删掉从#apple 开始后面的 route 起头的吧。。之前弄了就是翻不了,挺诡异,我明天回去了看看客户端怎么显示的,谢谢。
    doraemon616
        65
    doraemon616  
       2015-09-15 13:59:40 +08:00
    我想让国内地址不经路由直链访问,国外一律路由,配置文件里的路由部分该如何设置?
    doraemon616
        66
    doraemon616  
       2015-09-15 14:19:03 +08:00
    断网自动重连的时间在配置文件中如何修改?谢谢
    s7lx
        67
    s7lx  
       2015-09-16 14:18:32 +08:00
    发个福利
    Mac 下可以用这个连 ocserv http://t.cn/RyVg0r7
    WinXP/7 下是这个 http://t.cn/RyVg0rz
    sundaqing1969
        68
    sundaqing1969  
       2015-09-16 22:16:59 +08:00
    楼主回来了,好
    rakuhin
        69
    rakuhin  
       2015-09-19 20:48:14 +08:00
    @s7lx 连接反了-_-#
    sundaqing1969
        70
    sundaqing1969  
       2015-09-20 21:44:03 +08:00
    楼主的这个怎么用?求解说
    llhh6
        71
    llhh6  
       2015-09-22 09:27:19 +08:00
    @halczy 楼主现在有 ss 提供吗?收费也成
    sundaqing1969
        72
    sundaqing1969  
       2015-09-22 21:06:44 +08:00
    kang000feng
        73
    kang000feng  
       2015-12-09 14:58:01 +08:00
    谢谢 @halczy ,发现现在无法建立到网关的安全连接了。您能检查下服务器吗?谢谢!
    halczy
        74
    halczy  
    OP
       2015-12-09 15:23:45 +08:00
    @kang000feng 服务器这边正常, 可能是线路有问题.
    kang000feng
        75
    kang000feng  
       2015-12-09 17:08:21 +08:00
    @halczy 好像被 Q 认证了, PING 得通, tcping 却不通,兄台可以测试下。
    halczy
        76
    halczy  
    OP
       2015-12-09 18:21:12 +08:00
    @kang000feng 请问你是用哪家 ISP 连? 我用广州电信测试正常, 联通 4G 正常, 但是联通固网宽带连上后的确有掉线的现象. 服务器上移动 /电信 /联通都有人在用.

    另外, 无法建立到网关的安全连接可能是 Windows 端 AnyConnect 有问题. http://www.lewan.com/blog/2013/06/02/cisco-anyconnect-vs-internet-connection-sharing-in-windows-8-2
    kang000feng
        77
    kang000feng  
       2015-12-10 13:49:31 +08:00
    @halczy 电信。我的 ICS 一直是关闭的,进日志详细看了,发现真正错误是 The VPN client was unable to modify the IP forwarding table ,才导致 无法建立到网关的安全连接, google 发现思科官网也声称在 win3.1 有这个 bug ,但是试了多个版本的客户端 3.0/4.0/4.1 都是一样的问题,难道 Windows 端 AnyConnect 兼容性那么低?求楼主支支招。谢谢!
    halczy
        78
    halczy  
    OP
       2015-12-10 14:36:43 +08:00
    @kang000feng 试试 4.2.01022 这个版本。我在 Win 10 下正常可以连。尽量试多几次。

    下载这里有 https://www.v2ex.com/t/241252
    llhh6
        79
    llhh6  
       2015-12-19 15:13:52 +08:00
    速度很快,谢谢楼主。以前用楼主的 ss 也相当不错可惜楼主不做了。
    specialist
        80
    specialist  
       2015-12-31 22:48:08 +08:00
    服务器是哪家的,在哪个城市?
    yaoppp
        81
    yaoppp  
       2016-01-03 00:50:20 +08:00 via Android
    LZ 目前的优化是改了哪些参数?我的 server 速度也不太好,希望能学习提高
    329703622
        82
    329703622  
       2016-01-07 11:28:16 +08:00
    我的 vpn 连接一段时间就断了,好像是 keepalive 的问题,默认是九个小时,请问搂着这个怎么解决的,我想长时间在线,改成 0 之后 linux 端暂时没问题,但是 ios 连接后立即就断开了
    halczy
        83
    halczy  
    OP
       2016-01-08 14:33:46 +08:00
    @329703622

    keepalive = 32400
    dpd = 30
    mobile-dpd = 90
    cookie-timeout = 86400
    persistent-cookies = true
    deny-roaming = false

    以下要注释掉.
    #idle-timeout = 1200
    #mobile-idle-timeout = 2400
    #min-reauth-time = 300
    halczy
        84
    halczy  
    OP
       2016-01-08 14:37:19 +08:00
    @yaoppp 第二个回帖里有参数.
    @specialist Psychz 的洛杉矶
    yaoppp
        85
    yaoppp  
       2016-01-08 15:02:40 +08:00
    thx 。对于我来说 output-buffer 这个参数最有用,另外就是禁用 udp
    329703622
        86
    329703622  
       2016-01-09 09:47:50 +08:00
    @halczy 谢谢,我试试!然后再测试一下只用 tcp 的效率怎么样
    brobird
        87
    brobird  
       2016-01-14 13:29:09 +08:00
    @halczy ocserv 如何配置监听多个 IP
    ocserv.conf 里面有这样一条:
    # Use listen-host to limit to specific IPs or to the IPs of a provided
    # hostname.
    listen-host = [IP|hostname]
    那么我应该怎么配置才能让它监听多个 IP 呢?比如 a.a.a.a 和 b.b.b.b ?
    halczy
        88
    halczy  
    OP
       2016-01-14 16:20:14 +08:00
    @brobird 如果是服务器上全部 IP 都想监听的话, 直接注释掉就好了.

    如果只监听两个 IP, 我也没有测试过, 试试下面这样能不能用.
    listen-host = [a.a.a.a]
    listen-host = [b.b.b.b]
    brobird
        89
    brobird  
       2016-01-25 23:45:43 +08:00
    @halczy 貌似只读取了第一行……
    specialist
        90
    specialist  
       2016-01-28 09:10:36 +08:00
    @yaoppp 只用 TCP ,视频效果如何?
    yaoppp
        91
    yaoppp  
       2016-01-28 09:52:53 +08:00 via Android
    @specialist 用的过程中没有任何异样
    hbxntsxw
        92
    hbxntsxw  
       2016-02-02 10:04:46 +08:00
    请问楼主是怎么搭建?能给个教程吗?非常感谢!
    hbxntsxw
        93
    hbxntsxw  
       2016-02-02 10:06:15 +08:00
    我用 ocserv 搭建的服务器,我在电脑上可以用,但是手机( wm10 )不可以,而楼主你的可以用。所以想请教楼主教程。谢谢!
    specialist
        94
    specialist  
       2016-02-05 14:47:50 +08:00
    @yaoppp 能否用数据说话,禁用 UDP 对优化的提升究竟多高?
    yaoppp
        95
    yaoppp  
       2016-02-05 20:42:11 +08:00 via Android
    @specialist 家里宽带 10M ,不禁用 udp 的话,能跑到 6M ~ 7M ,而且从 speedtest 的曲线上来看,每隔 1 秒出现一次掉速,整个曲线是长城状。启用 udp 后可以跑满 10M ,曲线平稳。
    mikangchan
        96
    mikangchan  
       2016-02-29 15:41:30 +08:00
    @brobird 可以试试 docker bridge
    yunfeibai
        97
    yunfeibai  
       2016-04-08 00:09:49 +08:00
    @hbxntsxw win10mobile 的客户端貌似只支持默认的端口:
    tcp-port = 443
    udp-port = 443
    其他配置部分参考此处(除上述两个参数外,其他对 win10mobile 的连接影响不大-_-''): https://github.com/wppurking/ocserv-docker/blob/master/ocserv/ocserv.conf
    kawaii303
        98
    kawaii303  
       2016-04-09 11:08:03 +08:00
    试用了一下,可以连接,但是速度很慢, PC 看 youtube 只有 255kb/s ,相当于只有 30KB/S ,速度相比 ss 还是慢了很多呀。
    brobird
        99
    brobird  
       2016-04-17 21:29:48 +08:00
    @mikangchan 抱歉,我不会用 Docker ……不过现在我把原来的 SoftLayer 弃了,换了 Vultr ,倒也不用操心了……
    wheat0r
        100
    wheat0r  
       2016-04-18 10:51:28 +08:00
    想了解以下如果想在国内节点用 ocserv 做网游加速,应该怎么优化延迟?
    1  2  3  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2812 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 09:48 · PVG 17:48 · LAX 01:48 · JFK 04:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.