如果你还不了解这篇文章是干什么的?那不妨去阅读一下Anyconnect(ocserv)安装与使用手册目录。
Anyconnect(ocserv)从源码编译安装是比较稳妥的一种安装方式,但是对于新手而言还是有一点难度的,要复制各种二进制文件到对应的目录当中去。上一篇我们讲了Anyconnect(ocserv)从源码编译安装,已经完成了Anyconnect(ocserv)二进制文件部署和防火墙操作,以及一些简单的系统修改,还没安装的赶紧看一下。
那么这篇文件我们来讲一下,Anyconnect(ocserv)主配置文件ocserv.conf的基本参数设置。
主配置文件ocserv.conf
项目提供的ocserv.conf文件中有大量英文注释,不是很方便小白阅读,自然这里是做了一点精简的版本。
#Authentication method auth = "plain[passwd=/etc/ocserv/passwd]" # TCP and UDP port number tcp-port = 443 udp-port = 443 #SSL certificates server-cert = /etc/ocserv/server-cert.pem server-key = /etc/ocserv/server-key.pem ca-cert = /etc/ocserv/ssl/ca-cert.pem socket-file = /var/run/ocserv.socket occtl-socket-file = /var/run/occtl.socket pid-file = /var/run/ocserv.pid #user-profile = /etc/ocserv/profile.xml run-as-user = nobody run-as-group = nogroup cert-user-oid = 2.5.4.3 #cert-group-oid = 2.5.4.11 net-priority = 6 max-clients = 256 max-same-clients = 2 switch-to-tcp-timeout = 0 max-ban-score = 0 keepalive = 32400 dpd = 96 mobile-dpd = 1800 #output-buffer = 1000 try-mtu-discovery = true compression = false no-compress-limit = 512 auth-timeout = 48 idle-timeout = 1024 mobile-idle-timeout = 1024 cookie-timeout = 32400 persistent-cookies = true deny-roaming = false rekey-time = 32400 rekey-method = ssl use-utmp = true use-occtl = true device = ocserv predictable-ips = false ping-leases = false dtls-psk = false cisco-client-compat = true tunnel-all-dns = true isolate-workers = false tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128" ipv4-network = 172.16.100.0 ipv4-netmask = 255.255.255.0 #dns = 172.16.100.1 #Here is the routing information route = 192.168.1.0/255.255.255.0
重点参数
Authentication method为身份认证方式,这里采用密码作为身份认证凭证,/etc/ocserv/passwd是密码文件,使用ocpasswd工具生成。
# TCP and UDP port number为监听协议与端口,一般情况建议仅使用TCP(很多地方运营商对udp协议qos限制比较厉害,没人权),如果用于游戏必须打开udp。
#SSL certificates为ssl证书,可以采用自签名证书,也可以使用CA机构签发的ssl证书,需要pem格式的ssl证书。
#Here is the routing information为用户路由,Anyconnect(ocserv)支持route和no-route两种形式的路由表,Anyconnect客户端最大接受200条。
小结
完成前两个重要参数配置,Anyconnect(ocserv)服务端已经可以正常工作了。如果需要更多个性化配置,可以阅读源码包中的/doc/sample.config文件,提供了丰富的可选参数,非常符合企业要求的可控与精细化管理要求。

评论