AnyConnect ocserv搭建记录

记录一下，网上的介绍文章各有一些不正确的地方

系统版本 centos6

vps记得先开下tun/tap

主参考文章

https://botu.me/install-ocserv-on-centos6/

其他参考

https://www.stunnel.info/%E5%9C%A8centos-6-5%E4%B8%8A%E9%85%8D%E7%BD%AEcisco-anyconnect-vpn/

http://itony.me/765.html

http://imkevin.me/post/80157872840/anyconnect-iphone

configure的时候也可以不选择自定义prefix而使用默认的prefix，这样有时候反而方便些 发现即便不自定义prefix 后面还是要加各种环境变量，其实一样

不过gnutls的makefile读的路径也不对，如果不加prefix应该用下面命令configure
NETTLE_CFLAGS=”-I/usr/local/include/” NETTLE_LIBS=”-L/usr/local/lib64/ -lnettle” HOGWEED_CFLAGS=”-I/usr/local/include” HOGWEED_LIBS=”-L/usr/local/lib64/ -lhogweed” ./configure

如果nettle用了prefix，上面命令的/usr/local换成该prefix即可

这个问题在编译ocserv的时候也会遇到，configure参数为
LIBGNUTLS_CFLAGS=”-I/usr/local/include/” LIBGNUTLS_LIBS=”-L/usr/local/lib/ -lgnutls” LIBNL3_CFLAGS=”-I/usr/local/include” LIBNL3_LIBS=”-L/usr/local/lib/ -lnl-3 -lnl-route-3″ ./configure

关于证书，使用自签的说明有很多，这里记录下使用正规证书的方法。

正规证书签下来crt和key两个文件，crt记得合并下中间人证书
cat ssl.crt > server-cert.pem;
cat sub.class1.server.ca.pem >> server-cert.pem;
cat ca.pem >> server-cert.pem

自己的证书在前，接下来是中间人证书、根证书，得到的是pem
私钥key文件也要转成pem
openssl rsa -in ssl.key -out server-key.pem

路由表配置参考

https://github.com/rankjie/anyconnect-gfw-list/blob/master/gfwiplist.txt

ipv4重定向系统配置、iptables nat配置 有这条配置好像不需要其他文章里面那两条针对网段的配置
iptables -t nat -A POSTROUTING -j MASQUERADE

然后注意一下 通过supervisord来管理的时候 如果之前安装在非标准路径，需要在supervisord配置里面添加环境变量导出
[program:ocserv]
environment=LD_LIBRARY_PATH=/opt/lib/:/opt/lib64/
command=/opt/sbin/ocserv -c /opt/etc/ocserv/ocserv.conf -f
autorestart=true

客户端方面，要取消组织连接不安全的服务器的设置，如果使用自签证书