V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zhjits
V2EX  ›  问与答

OpenWRT 上搭建 OpenConnect( ocserv)服务器,客户端完成身份验证后即被断开,请问可能是哪里配置问题?

  •  
  •   zhjits · 2015-09-21 11:17:37 +08:00 · 5627 次点击
    这是一个创建于 3379 天前的主题,其中的信息可能已经有所发展或是发生改变。
    客户端处于不断连上-断开-连上的循环中。
    5 条回复    2015-09-22 14:14:33 +08:00
    shangjiyu
        1
    shangjiyu  
       2015-09-21 11:45:01 +08:00
    防火墙设置有问题
    pmpio
        2
    pmpio  
       2015-09-21 11:52:30 +08:00
    我不知道 OpenConnect 是啥,不过看症状,协议应该跟 FTP 有点像。可能握手认证完之后,服务器会从另一端口建立数据连接通道。。。所以,应该是 /etc/config/firewall 要改配置了。。。。
    zhjits
        3
    zhjits  
    OP
       2015-09-21 12:11:51 +08:00
    @pmpio 那个协议是模拟 HTTPS 的 VPN 。
    @shangjiyu

    我在网上看了一堆资料,大概有三种配置:

    1.
    config rule
    option target 'ACCEPT'
    option proto 'tcp udp'
    option dest_port '1443'
    option name 'OpenConnect'
    option src '*'

    config rule
    option target 'ACCEPT'
    option name 'OpenConnect'
    option src '*'
    option src_ip '192.168.5.0/24'
    option dest '*'
    #option enabled '0'

    config redirect
    option target 'SNAT'
    option src 'lan'
    option dest 'wan'
    option proto 'all'
    option src_dip '192.168.3.1'
    option name 'OpenConnect'
    option src_ip '192.168.5.0/24'
    #option enabled '0'

    2.
    iptables -I INPUT -p tcp --dport 1443 -j ACCEPT
    iptables -I INPUT -p udp --dport 1443 -j ACCEPT
    iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -o pppoe-wan -j MASQUERADE
    iptables -I FORWARD -i vpns+ -s 192.168.5.0/24 -j ACCEPT
    iptables -I INPUT -i vpns+ -s 192.168.5.0/24 -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

    3.
    iptables -A input_rule -i vpns+ -j ACCEPT
    iptables -A forwarding_rule -i vpns+ -j ACCEPT
    iptables -A forwarding_rule -o vpns+ -j ACCEPT
    iptables -A output_rule -o vpns+ -j ACCEPT

    都试了,都无效。

    服务器配置: lan 在 192.168.3.0/24 , OpenConnect 客户端分配到 192.168.5.0/24 ,服务器端口 1443 。
    lawder
        4
    lawder  
       2015-09-21 17:09:28 +08:00
    ocserv 开 debug 模式看日志
    zhjits
        5
    zhjits  
    OP
       2015-09-22 14:14:33 +08:00
    @lawder 看了日志,连接没问题,如果我用 split include 192.168.0.0/16 也没问题,但是如果转发全部流量就会挂,所以应该是 iptables 设置问题
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2594 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 10:35 · PVG 18:35 · LAX 02:35 · JFK 05:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.