OpenWRT 上搭建 OpenConnect（ ocserv）服务器，客户端完成身份验证后即被断开，请问可能是哪里配置问题？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3353 天前的主题，其中的信息可能已经有所发展或是发生改变。

客户端处于不断连上-断开-连上的循环中。

断开

客户端

OpenWrt

ocserv

5 条回复 • 2015-09-22 14:14:33 +08:00

shangjiyu

2015-09-21 11:45:01 +08:00

防火墙设置有问题

pmpio

2015-09-21 11:52:30 +08:00

我不知道 OpenConnect 是啥，不过看症状，协议应该跟 FTP 有点像。可能握手认证完之后，服务器会从另一端口建立数据连接通道。。。所以，应该是 /etc/config/firewall 要改配置了。。。。

zhjits

2015-09-21 12:11:51 +08:00

@pmpio 那个协议是模拟 HTTPS 的 VPN 。
@shangjiyu

我在网上看了一堆资料，大概有三种配置：

1.
config rule
option target 'ACCEPT'
option proto 'tcp udp'
option dest_port '1443'
option name 'OpenConnect'
option src '*'

config rule
option target 'ACCEPT'
option name 'OpenConnect'
option src '*'
option src_ip '192.168.5.0/24'
option dest '*'
#option enabled '0'

config redirect
option target 'SNAT'
option src 'lan'
option dest 'wan'
option proto 'all'
option src_dip '192.168.3.1'
option name 'OpenConnect'
option src_ip '192.168.5.0/24'
#option enabled '0'

2.
iptables -I INPUT -p tcp --dport 1443 -j ACCEPT
iptables -I INPUT -p udp --dport 1443 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.5.0/24 -o pppoe-wan -j MASQUERADE
iptables -I FORWARD -i vpns+ -s 192.168.5.0/24 -j ACCEPT
iptables -I INPUT -i vpns+ -s 192.168.5.0/24 -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

3.
iptables -A input_rule -i vpns+ -j ACCEPT
iptables -A forwarding_rule -i vpns+ -j ACCEPT
iptables -A forwarding_rule -o vpns+ -j ACCEPT
iptables -A output_rule -o vpns+ -j ACCEPT

都试了，都无效。

服务器配置： lan 在 192.168.3.0/24 ， OpenConnect 客户端分配到 192.168.5.0/24 ，服务器端口 1443 。

lawder

2015-09-21 17:09:28 +08:00

ocserv 开 debug 模式看日志

zhjits

2015-09-22 14:14:33 +08:00

@lawder 看了日志，连接没问题，如果我用 split include 192.168.0.0/16 也没问题，但是如果转发全部流量就会挂，所以应该是 iptables 设置问题