Debian安装配置AnyConnect服务器及白名单路由表

与PPTP、L2TP等相比,AnyConnect是一个不错的VPN协议,理由如下:

  1. 与其他协议相比受干扰较少
  2. 全平台通用
  3. 可以向客户端推送路由表,这样就不用每次手动执行配置路由表了。

安装ocserv

OpenConnect是AnyConnect的开源实现,兼容Cisco AnyConnect客户端。

配置过程稍有些复杂,所以我使用的是@liyangyijie的一键脚本,具体操作请看作者的原文。在此感谢原作者。

一键脚本默认移除了最大路由表条数的限制,所以不需要单独修改。

由于(据说)3.x版本以上的Cisco AnyConnect客户端不支持自签名证书,所以建议使用plain方式认证,只不过每次登录都需要输一遍密码。

如果你想要手动安装的话,由于ocserv 依赖的libgnutls28-dev在Debian默认的源里是找不到的,所以需要添加一条backports源。

配置CHNROUTE白名单路由表

路由表来自CNMan/ocserv-cn-no-route

只需要选择其中一个,添加到/etc/ocserv/ocserv.conf。有两点注意:

  1. 路由表最好不要超过200条。并不是因为服务器不支持,而是超过200条之后客户端可能会收不到。
  2. route和no-route不能同时使用

绕过VPS自身的IP

如果把路由配置为全局的话,那么连上VPN之后就无法访问此VPS上的其他服务。比如我连上VPN之后再访问此VPS上的网站,chrome会提示ACCESS DENIED。

解决方法是把VPS的ip添加到no-route路由表

 

 

One thought on “Debian安装配置AnyConnect服务器及白名单路由表

Leave a Reply

电子邮件地址不会被公开。 必填项已用*标注

如果你是人类,请点击Banana...