配置 ocserv.conf

  • A+
所属分类:网络加速

用于ocserv证书登录的配置文件.


 

  • 配置CA证书,及DH交换密钥:

 

为了能正常使用以下配置文件请先请参照: 为ocserv配置证书登录


    • 配置服务器证书:

如果要自签服务器证书,可以执行以下命令(需要第上一步配置完成):

  1. mkdir -p /etc/ocserv/template
  2. #需要将 $IP 修改为你服务器的IP地址或者域名.
  3. YourAddress="$IP"
  4. cat >/etc/ocserv/template/server.tmp<<EOF
  5. cn = "$YourAddress"
  6. organization = "Vicer"
  7. serial = 2
  8. expiration_days = 1825
  9. signing_key
  10. encryption_key
  11. tls_www_server
  12. EOF
  13. openssl genrsa -out /etc/ocserv/server.key.pem 2048
  14. certtool --generate-certificate --hash SHA256 --load-privkey /etc/ocserv/server.key.pem --load-ca-certificate /etc/ocserv/template/ca.cert.pem --load-ca-privkey /etc/ocserv/template/ca.key.pem --template /etc/ocserv/template/server.tmp --outfile /etc/ocserv/server.cert.pem
  15. cat /etc/ocserv/template/ca.cert.pem >>/etc/ocserv/server.cert.pem

特别注意: 客户端会弹出不信任.


    • 如果需要使用免费的证书,可以参照:

申请免费的通配符证书

    • 将申请好的证书和生成的密钥分别重命名为

server.cert.pem

server.key.pem

    • 并放置在

/etc/ocserv

    • 目录中.

特别注意: 客户端不会弹出不信任,但需要补全证书链.


    • 配置文件:

注意: 请配置私有地址池和私有DNS,避免解析到被污染的IP地址.
可以参照: 安装dnsmasq并配置私有地址池

  1. cat >/etc/ocserv/ocserv.conf<<EOF
  2. #auth = "plain[passwd=/etc/ocserv/ocpasswd]"
  3. auth = "certificate"
  4. # TCP and UDP port number
  5. tcp-port = 443
  6. #udp-port = 443
  7. server-cert = /etc/ocserv/server.cert.pem
  8. server-key = /etc/ocserv/server.key.pem
  9. ca-cert = /etc/ocserv/template/ca.cert.pem
  10. dh-params = /etc/ocserv/dh.pem
  11. socket-file = /var/run/ocserv.socket
  12. occtl-socket-file = /var/run/occtl.socket
  13. pid-file = /var/run/ocserv.pid
  14. run-as-user = nobody
  15. cert-user-oid = 2.5.4.3
  16. isolate-workers = false
  17. max-clients = 192
  18. max-same-clients = 192
  19. keepalive = 32400
  20. dpd = 300
  21. mobile-dpd = 1800
  22. #output-buffer = 1000
  23. try-mtu-discovery = true
  24. compression = true
  25. no-compress-limit = 256
  26. auth-timeout = 40
  27. idle-timeout = 1200
  28. mobile-idle-timeout = 1200
  29. cookie-timeout = 43200
  30. persistent-cookies = true
  31. deny-roaming = false
  32. rekey-time = 43200
  33. rekey-method = ssl
  34. use-utmp = true
  35. use-occtl = true
  36. device = ocserv
  37. predictable-ips = false
  38. ping-leases = false
  39. cisco-client-compat = true
  40. tls-priorities = "NORMAL:%SERVER_PRECEDENCE:%COMPAT:-RSA:-VERS-SSL3.0:-ARCFOUR-128"
  41. ipv4-network = 192.168.8.0
  42. ipv4-netmask = 255.255.255.0
  43. dns = 192.168.8.1
  44. EOF
    • 配置路由表:
      • Android:

由于Android框架的限制,只支持路由表 route 方式.
Andriod使用的路由表请参照: Route list for ocserv

      • 常规路由表:

支持路由表 no-route 方式.
详情请参照: no-route list for ocserv

注意: 路由表no-route方式和route方式,只能二选一.
将路由表粘贴至/etc/ocserv/ocserv.conf文件的末尾.