Cisco anyconnect 服务器搭建（服务器软件采用ocserv）注意本项目是基于Centos7操作系统

安装步骤

安装ocserv 服务器，请使用下面的脚本文件进行安装

https://raw.githubusercontent.com/chendong12/ocserv/master/ocserv_quick.sh

;

使用Radius来管理ocserv 服务器中的账号，即OCSERV对接Radius，请使用下面的脚本文件进行安装

https://github.com/chendong12/ocserv/blob/master/ocserv_radius_quickinstall.sh

;

服务器操作常用方法

• 启动服务器方法: systemctl start ocserv
• 停止服务器方法: systemctl stop ocserv
• 重启服务器方法: systemctl restart ocserv

增加客户端账号的方法

• /root/anyconnect/user_add.sh 通过脚本文件直接增加账号密码和证书文件
• ocpasswd -c /etc/ocserv/ocpasswd user_name 增加用户名为user_name的账号，如果已经存在则修改其密码
• cd /root/anyconnect ; mkdir user_name ; cd user_name ; ../gen-client-cert.sh user_name /root/anyconnect 只增加用户证书
• ocpasswd -d user_name 删除user_name账号

wget https://raw.githubusercontent.com/atrandys/wireguard/master/wireguard_install_ubuntu.sh 
&& chmod +x wireguard_install_ubuntu.sh && ./wireguard_install_ubuntu.sh 

安装配置 v2ray

v2ray 的安装很简单，安装脚本来自 fhs-install-v2ray，如要移除，请参考 README。

// 安裝執行檔和 .dat 資料檔
# bash <(curl -L https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh)

安装好之后我们可以用 systemctl start v2ray 和 systemctl stop v2ray 来开启和关闭 v2ray。

该脚本安装的 v2ray 的配置文件路径是 /usr/local/etc/v2ray/config.json，如果忘记了可以用 systemctl status v2ray 来查看。下面我们编写配置文件

{
  "inbounds": [
    {
      "port": 10000, # 该端口需要与后面 nginx 配置的端口一致
      "listen":"127.0.0.1", # 只监听 127.0.0.1，避免除本机外的机器探测到开放了 10000 端口
      "protocol": "vmess",
      "settings": {
        "clients": [
          {
            "id": "b831381d-6324-4d53-ad4f-8cda48b30811", # 此处填写生成的 uuid
            "alterId": 64
          }
        ]
      },
      "streamSettings": {
        "network": "ws",
        "wsSettings": {
        "path": "/ray"
        }
      }
    }
  ],
  "outbounds": [
    {
      "protocol": "freedom",
      "settings": {}
    }
  ]
}

直接赋值这个内容粘贴到 v2ray 的配置文件中即可，只有两个地方时要修改的，一个的端口（也可以不修改），一个是 id。id 的生成可以到 https://www.uuidgenerator.net

证书的生成和自动续签

TLS 是需要证书的，这里我们使用 certbot 来帮我们申请免费的 Let's Encrypt 证书，Let's Encrypt 是一家免费，开放，自动化的证书颁发机构，官方文档参考 Let’s Encrypt 快速入门。Let's Encrypt 官方建议使用 certbot 来进行证书的获取。安装 certbot 需要先安装 epel 仓库，命令如下：

$ sudo yum install epel-release

$ sudo yum install certbot

由于我们的 VPS 上并没有一个真实运行的网站（只是用来进行流量的伪装），所以我们需要用 certbot 的 standalone 参数来运行一个独立的网页服务器进行身份验证（certbot 需要确定你拥有域名指向的服务器的所有权），该网页服务器会使用 VPS 的 80 端口，所以你需要关闭 VPS 上的 web 服务器（比如 nginx）。申请证书的命令如下

# 添加免费SSL证书，example.com改为你购买的域名
certbot certonly --standalone -d example.com # 生成证书的时候会让你填一个邮箱，在证书快到期的时候会发邮件给你

# 安装成功后的证书路径
/etc/letsencrypt/live/example.com/fullchain.pem
/etc/letsencrypt/live/example.com/privkey.pem

# 查看已经生成的证书
certbot certificates

这里注意，如果出现红字说生成失败，那么要检查一下域名解析填的 IP 是否正确，也可以在 VPS 中 ping 一下你的域名看看能不能 ping 通，并且指向的 IP 是不是当前 VPS 的 IP。

如果你的域名解析正确并且能够在 VPS 上 ping 通，但是还是一直红字提示失败，那么你需要检查一下 VPS 的防火墙，可以用 systemctl status firewalld 来查看是否开启了防火墙。一般来说出现这种情况都是因为防火墙的开启，比较简单的解决方法就是关闭防火墙：

systemctl stop firewalld
systemctl disable firewalld

如果你不想关闭防火墙可以试一试让防火墙开放指定端口（我是直接关闭防火墙的，该方法没有实际测试），以下命令均来自 Linux CentOS7 开启80，443端口外网访问权限

# 检查防火墙状态
firewall-cmd --state # running 表示启动 not running 表示未启动

# 开启端口外网访问 返回 success 表示开启成功 --permanent 表示永久生效，不加该参数则重启后失效
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent

# 开放多个端口
firewall-cmd --zone=public --add-port=80-85/tcp --permanent

# 关闭端口 返回 success 代表成功
firewall-cmd --zone=public --remove-port=80/tcp --permanent

# 重新载入 返回 success 代表成功
firewall-cmd --reload

# 查看端口是否成功开启 返回 yes 代表开启成功
firewall-cmd --zone=public --query-port=80/tcp

Let's Encrypt 的证书是免费的，但是每次证书的有效期只有 90 天，也就是我们至少在 90 天以内更新一次我们的证书，你可以到 VPS 上手动更新，命令时 certbot renew，还是要注意更新证书的时候需要关闭 nginx，否则会报 80 端口被占用。你用可以先用 certbot renew --dry-run 来检验是否能够成功更新，该命令只是检测，不会真的生成证书。

还有一个需要注意的点就是默认情况下只有证书有效期小于 30 天的时候才能进行更新，如果有效期超过 30 天则会更新失败。

如果每次手动更新太麻烦了，我们可以使用 crond 帮我们定期执行更新命令，首先进行安装并启动（vultr 的 VPS 默认已经安装了）

yum -y install vixie-cron
yum -y install crontabs
service crond start

crontab 可以用 cron 表达式帮我们定期执行一些命令，输入 crontab -e 就可以输入我们要定期执行的表达式了：

1 0 15 * * /usr/bin/certbot renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"

表达式的前五个 * 或者数字是 cron 表达式，分别代表 分 时 日 月 年，* 就代表 每 的意思，比如上面的 1 0 15 * * 表示每年每月的 15 号的 00 : 01 执行后面的命令。--pre-hook 和 --post-hook 则是 certbot 的两个参数表示在执行 renew 之前和之后的两个命令钩子，此处表示我们先关闭 nginx 在执行 renew，renew 完成后再启动 nginx。

安装配置 nginx

配置了 TLS 需要一个 web 服务器，这里可以选择 nginx，apache 或者 caddy，我使用的是 nginx。

# 安装 nginx
yum -y install nginx

# 设置nginx的开机启动
systemctl enable nginx

nginx 的配置文件默认是 /etc/nginx/nginx.conf，不过我建议是在 /etc/nginx/conf.d 中创建一个独立的配置文件 v2ray.conf，方便管理。nginx.conf 会读取 conf.d 中的所有 conf 文件。创建好配置文件后写入如下配置

server {
  listen 443 ssl;
  listen [::]:443 ssl;

  ssl_certificate       /etc/letsencrypt/live/example.com/fullchain.pem; # 此处的路径写你生成的证书路径
  ssl_certificate_key   /etc/letsencrypt/live/example.com/privkey.pem; # 此处的路径写你生成的证书路径
  ssl_session_timeout 1d;
  ssl_session_cache shared:MozSSL:10m;
  ssl_session_tickets off;

  ssl_protocols         TLSv1.1 TLSv1.2 TLSv1.3;
  ssl_ciphers           ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
  ssl_prefer_server_ciphers off;

  server_name           your.domain; # 你的域名
    location /ray { # 与 V2Ray 配置中的 path 保持一致
      if ($http_upgrade != "websocket") { # WebSocket协商失败时返回404
          return 404;
      }
      proxy_redirect off;
      proxy_pass http://127.0.0.1:14400; # 这里的端口写你在 v2ray 中配置的端口
      proxy_http_version 1.1;
      proxy_set_header Upgrade $http_upgrade;
      proxy_set_header Connection "upgrade";
      proxy_set_header Host $host;
      # Show real IP in v2ray access.log
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

需要修改的地方我已经在注释中表名，请仔细修改，注意分号。编写完成后我们用 nginx -t 来测试配置文件是否有语法错误，一般如果显示如下命令则表示语法没问题，我们可以重启 nginx

nginx: the configuration file /opt/homebrew/etc/nginx/nginx.conf syntax is ok
nginx: configuration file /opt/homebrew/etc/nginx/nginx.conf test is successful

systemctl restart nginx

caddy 是一个比较新的用 golang 实现的 web 服务器，我不是很熟悉，不过它可以自动签发 https 证书，这一点来说比较方便，如果你不想自己配置证书可以使用 caddy。caddy 的配置参考 新 V2Ray 白话文指南

SELinux

上面的步骤都执行完了，一般来说我们的配置就已经完成了，此时在客户端上正确配置就能够访问 Google 了。如果此时你的 v2ray 客户端显示服务器连接正常，但是你还是不能访问 Google，很可能是 SELinux 的问题，此时我们只要去 /var/log/nginx/ 查看 access.log 可以看到很多的 Permission Denied，说明 VPS 收到了我们的请求但是由于 SELinux 无法转发给 v2ray，此时我们可以关闭 SELinux，也可以直接执行 setsebool -P httpd_can_network_connect 1 来开启内网转发的权限。

关于 SELinux 的介绍可以参考 阿里云

clash

我原来在 Mac 上一直用的是 V2rayU 作为客户端的图形界面代理工具，这个工具一直都用的挺好。最近看了看 clash 相关的图形界面代理工具，包括 Clash for Windows，ClashX 和 ClashX Pro，其中 ClashX 是开源的，其他都是闭源的，clash 有个 premium-core 也是闭源的。我当时就是觉得界面比较好看所以试了试 ClashX Pro，不过使用后遇到了不少问题，首先是没有文档，全部靠 clash 自身的文档，ClashX 的 Github 仓库也不能提 issue，ClashX Pro 更是仓库都没有，只是在微软的 App Center 里面有下载和 release note，遇到问题只能到 Github 仓库中提一个 discussion 里面提一个，大概率没人管。

ClashX Pro 支持 clash premium-core，主要是支持一个 tun mode，可以代理电脑中所有的 tcp 和 udp 流量。这个我使用需求不大，需要代理的软件单独设置就可以。另一个功能就是支持一个 rule provider 功能，这个比较有用，之前用 V2rayU 的时候有 pac 模式，有一个默认的 GFW list ，基本上我们配置完 vmess 就可以使用了。在 clash 这里基本每个规则都得自己配置，rule provider 让我们可以用一些别人配置好的 rule-set，这样就比较方便，有些 rule-set 是可以自己更新的（SS-Rule-Snippet 和 clash rules 是两个比较好的 rule 配置）。但是在使用 ClashX Pro 的时候还遇到两个比较严重的问题，一个就是切换有线和无限会由于 fake id 的原因无法上网，还有就是内存占用非常高，刚开就 180m 的内存占用，后面还会一直增加，不知道为什么一个代理工具这么高的内存你占用。使用 ClashX 则相对较低只有几十兆，V2rayU 只有十几兆。目前我使用的是 ClashX ，比较麻烦的就是 rule，得自己手填一堆。M1 芯片的电脑还有个方法就是安装手机上用的 shadowrocket，必须用美服 apple id 才能下载。

最后就是配置终端代理，原来我都是用 curl cip.cc 进行测试，其实这个测试结果完全就是看你 curl 这个地址是否走了代理，如果在代理工具中配置了这个地址直连，那么得到的结果肯定还是真实的 IP 而不是代理服务器 IP，可以参考 请问clashx怎么设置终端代理呢？ 这个 issue，用 curl -vv https://www.google.com 来进行测试。

总结

这个新版本的 v2ray 的配置总结了我最近配置时候遇到的一些问题，按照这一套走下来应该是没有什么问题，如果你还有其他疑问，欢迎评论或者给我邮件。

OCC命令的用法
occ命令是ownCloud/Nextcloud的命令行界面。您可以使用occ执行许多常见的服务器操作，例如安装和升级ownCloud/Nextcloud，管理用户，加密，密码，LDAP设置等。

一般格式是这样的：

sudo -u www-data php occ [options] [arguments]

重置密码

user相关命令：

 user
  user:add                            添加一个用户
  user:delete                         删除特定用户
  user:disable                        禁用特定用户
  user:enable                         激活特定用户
  user:info                           显示用户信息
  user:lastseen                       显示用户最后登陆了时间
  user:list                           列出所有用户
  user:report                         显示有多少用户访问
  user:resetpassword                  为一个用户重置密码
  user:setting                        读取和修改用户设置

我们需要用的是user:reserpassword。

命令格式为为下

sudo -u www-data php occ user:resetpassword 用户名

实例

要重置密码之前，我们要先知道要给哪个用户重置密码。

sudo -u www-data php occ user:list

重置用户admin的密码

sudo -u www-data php occ user:resetpassword admin

然后会提示输入新密码（输入的密码不会显示）按回车确认密码。

如果输入的密码比较简单，你会得到以下提示，那么你需要换一个更复杂的密码。

重置成功：

具体步骤如下：
1、使用快捷键【ctrl+alt+t】打开终端。
2、输入以下命令备份原有软件源文件。
cp /etc/apt/sources.list /etc/apt/sources.list.bak_yyyymmdd
3、再输入以下命令打开sources.list文件并添加新的软件源地址。
vim /etc/apt/sources.list #打开sources.list文件

PS： 新安装的Ubuntu可能没有安装Vim, 用如下命令先安装Vim：
sudo apt-get install vim-gtk

在文件末尾添加新的软件源地址，常用国内源地址如下：

#阿里源地址

deb http://mirrors.aliyun.com/ubuntu/ bionic main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ bionic-security main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ bionic-updates main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ bionic-proposed main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ bionic-backports main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ bionic main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ bionic-security main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ bionic-updates main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ bionic-proposed main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ bionic-backports main restricted universe multiverse

#华为源地址

deb https://repo.huaweicloud.com/ubuntu/ focal main restricted
deb https://repo.huaweicloud.com/ubuntu/ focal-updates main restricted
deb https://repo.huaweicloud.com/ubuntu/ focal universe
deb https://repo.huaweicloud.com/ubuntu/ focal-updates universe
deb https://repo.huaweicloud.com/ubuntu/ focal-backports main restricted universe
deb https://repo.huaweicloud.com/ubuntu/ focal-security main restricted
deb https://repo.huaweicloud.com/ubuntu/ focal-security universe

#中科大源地址

deb https://mirrors.ustc.edu.cn/ubuntu/ bionic main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ bionic-updates main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic-updates main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ bionic-backports main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic-backports main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ bionic-security main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic-security main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ bionic-proposed main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ bionic-proposed main restricted universe multiverse

#163源地址

deb http://mirrors.163.com/ubuntu/ bionic main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ bionic-security main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ bionic-updates main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ bionic-proposed main restricted universe multiverse
deb http://mirrors.163.com/ubuntu/ bionic-backports main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ bionic main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ bionic-security main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ bionic-updates main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ bionic-proposed main restricted universe multiverse
deb-src http://mirrors.163.com/ubuntu/ bionic-backports main restricted universe multiverse

#清华源地址

deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic main restricted universe multiverse
deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-updates main restricted universe multiverse
deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-updates main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-backports main restricted universe multiverse
deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-backports main restricted universe ultiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-security main restricted universe multiverse
deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-security main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-proposed main restricted universe multiverse
deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ bionic-proposed main restricted universe ultiverse

4、输入命令更新系统软件源地址:
apt-get update
apt-get upgrade
————————————————
版权声明：本文为CSDN博主「anjoel」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/anjoel/article/details/124805571

文件的类型并不取决于它的后缀名，而是取决于它的MIME类型。在使用ownCloud/Nextcloud中，我们有时会上传一些类型不常见的文件，而默认的，ownCloud/Nextcloud并不会识别这个文件，仅仅是把它当作一个未知的文件对待，像下面这样：  这就很难看了……下面我将介绍如何管理ownCloud/Nextcloud上的文件类型。

MIME类型别名

ownCloud/Nextcloud控制MIME类型的文件位于 resources/config/mimetypealiases.dist.json，里面有类似下方的内容。其中， :左侧的是文件的MIME类型，右侧的是这种类型所对应的图标，这儿我们把它称作 别名（Alias）（图标的svg文件位于 core/img/filetypes，这个我们后面说。）

{
 "application/coreldraw": "image",
 "application/font-sfnt": "image",
 "application/font-woff": "image",
 "application/illustrator": "image",
 "application/epub+zip": "text",
 "application/javascript": "text/code",
}

这些内容的作用是：

• 将MIME类型为application/coreldraw的Corel Draw文件以及类型为application/font-sfnt、application/font-woff、application/illustrator的图标显示为image（即图标目录下的image.svg）
• ePub文件将使用text图标显示
• js文件将使用text-code图标显示

以下几个常用的MIME类型：

自定义文件图标

前面提到了我们可以自己定义不同类型的文件所对应的图标，但是ownCloud/Nextcloud自带的图标较少，只有20个。那么就很有可能发生这种情况：  c++,python,php,js,html,css……这么多不同类型的语言的源码文件都来齐了，然而它们却用的同一个图标，难以分辨。为了解决这个问题，我们可以给它们定义不同的图标。 1.以Python为例，编辑 resources/config/mimetypealiases.dist.json，找到 "text/x-python": "text/code",，将后部的别名 text/code改为 text/python像下面这样：

"text/x-python": "text/python",

2.然后找一个Python的图标，要求为svg格式，重命名为text-python.svg。 [infobox]注意这里的图标文件的命名规范，要和你所设置的类型一致（即与 :后面的别名一致）。比如我将python的别名写成 text/python，那么图标文件的名字就应该是 text-python.svg，即将 /改为 -再加后缀 .svg。同理，如果我要给c++文件填一个图标，别名应该写作： "text/x-c++src": "text/cpp", 图标应该命名为： text-cpp.svg [/infobox] 3.将图标上传至 core/img/filetypes目录，注意文件权限的设置，要与目录下已有的文件保持一致。 4.执行OCC命令，更新mimetype别名数据库：

$ sudo -u www-data php occ maintenance:mimetype:update-js
mimetypelist.js is updated

5.清一下浏览器缓存，再次访问Nextcloud实例，效果：  同理，可以为其它的类型的文件添加图标：  推荐一个下载各种图标的网站： iconfont。

建立独立的mimetype.json

在ownCloud/Nextcloud更新时，会将 mimetypealiases.dist.json也覆盖掉，使得之前的修改失效。ownCloud/Nextcloud允许我们创建一个独立的 mimetype.json文件。 将 mimetypealiases.dist.json拷贝为 mimetypealiases.json，并将它放在config/目录下。

MIME类型映射

ownCloud允许管理员将文件扩展名映射到mimetype，例如，将以mp3结尾的文件映射到audio/mpeg，并显示特定的图标。 文件后缀名与MIME类型的映射关系储存在 resources/config/mimetypemapping.dist.json。以下是这个文件内容的一个示例：

{
 "3gp": ["video/3gpp"],
 "7z": ["application/x-7z-compressed"],
 "accdb": ["application/msaccess"],
 "ai": ["application/illustrator"],
 "apk": ["application/vnd.android.package-archive"],
 "arw": ["image/x-dcraw"],
 "avi": ["video/x-msvideo"],
 "bash": ["text/x-shellscript"],
 "json": ["application/json", "text/plain"],
  ⇑后缀名    ⇑MIME类型（支持一种后缀对应多种MIME类型）            
}

例如 "json": ["application/json", "text/plain"],，表明对于后缀名为json的文件，其MIME类型都将定为 application/json和 text/plain。

建立独立的mimetypemapping.json

同样的，为了防止ownCloud/Nextcloud的更新将修改后的文件覆盖掉，我们可以在/config目录下建立mimetypemapping.json： 将 resources/config/mimetypemapping.dist.json拷贝为 mimetypemapping.json，并将它放在config/目录下。

1、卸载重装VMware软件。

这个方法并不对所有人适用，因为可能卸载不干净，有应用残留，亦或者是不敢擅自清理注册表。请参见方法二：

2、第一步也是卸载VMware

第二步，下载eveything软件（功能很强大）：

下载链接：https://www.voidtools.com/zh-cn/ ，可根据自己的电脑选择适合自己电脑版本。

第三步，下载CCleaner(非常出色的计算机文件清理工具)：

下载链接：https://www.ccleaner.com/ccleaner/download/standard

第四步，打开everything，在搜索框输入VMware:  找到文加后，全部删除

3删除完成后打开CCleaner：

点击Scan for Issues 等它扫描完成后点击 Fix selected Issues 即可

ocservauto

该脚本在deibian 7+/ubuntu 14.04-15.10(2015-10-31)上进行过测试，默认使用密码方式登录，思科anyconnect客户端可连可用。

AnyConnect是思科的安全远程接入解决方案，之前只有思科的设备才支持。

ocserv(OpenConnect server)是一个OpenConnect SSL 协议服务端，0.3.0版后兼容使用AnyConnect SSL 协议的终端。

官方主页：http://www.infradead.org/ocserv/

2015年7月6日
更新和提示：
1，默认使用ocserv的0.10.6版本，由于移除了服务端路由规则数量限制，脚本不再询问路由规则限制数。
2，自签证书全部使用sha256签名算法，且完善证书链。
3，增加支持ubuntu 14.10、15.04。（但不建议使用非LTS版本ubuntu）
4，证书登录方式增加支持自定义客户端证书的CN名。
5，添加了更加完整的安装日志。
6，更新启动管理脚本，增加debug模式，下文说明。
7，支持用户名密码登录和证书登录同时开启，下文说明。
8，增加了相同客户端证书可以登录多个服务器的方案，下文说明。
9，修复一些其他小问题。
2015年5月1日
更新和提示：
1，编译安装freeradius-client-1.1.7，便于freeradius认证。（/etc/radiusclient/radiusclient.conf）
2，编译安装lz4。（/usr/local）
3，随机字符串获取剔除容易识别错误的字符例如0和O等等。
4，增加DH parameters。
5，关于GSSAPI认证，开启支持下文说明。
6，兼容debian 8 (jessie)。
7，在没有卸载依赖的情况下，支持平滑升级降级，升降级之后原来用户数据保留；也可以选择强制重装，抹掉原来数据。
2015年4月8日
更新和提示：
1，允许自定义客户端证书的到期日期。
2，默认从github编译安装依赖包lz4，避免某些情况下会破坏系统，但仍然可以选择强制从debian Jessie更新liblz4-dev。
3，增加对ubuntu 14.04的支持 。
2015年3月25日
更新与提示：
1，增加了ocserv最新版本检测，默认推荐使用0.10.1版本 。
2，如果为了稳定使用，这里并不推荐使用最新版本，有些最新发行版由于存在严重bug很快被更新的版本替代。
3，增加支持证书登录以及吊销证书。
4，默认开启lz4压缩，据说能极大提升速度。
5，默认是tcp和udp同时开启，若速度不佳，可在安装时选Only use tcp-port，或在配置文件里面注释掉udp端口。
6，曾经使用过该脚本安装的朋友，可以通过下面提到的命令升级重装。
2015-01-27
更新：依然使用0.8.9版本进行编译安装，增加了一些自定义选项，但不支持证书登录。

由于各种依赖较新，debian 7以下不支持。openvz需要支持打开tun/tap服务。

关于这个一键脚本的github放置点

https://github.com/fanyueciyuan/eazy-for-ss/tree/master/ocservauto

编译安装总结（jessie）

一，安装步骤：

1，安装与调试

如果这是纯净新系统的话，请先更新一下系统。

apt-get update && apt-get upgrade -y

首次安装，终端输入以下命令

wget git.io/p9r8 --no-check-certificate -O ocservauto.sh&&bash ocservauto.sh

如果您以前使用了该脚本进行安装，只需要输入下面命令更新（只更新相关脚本，服务器不会更新）

wget git.io/ocservauto -O- --no-check-certificate|bash -

如果使用自动安装，默认是使用用户名和密码登录，只需要输入初始用户名和密码，回车即可自动安装完成。

如果使用自定义安装，请输入自己的要求来完成安装。

下面是进入脚本之后一些选项说明解释。

如果安装顺利，最后给出您的相应信息，例如

如果安装失败可以查阅安装日志，即脚本所在文件夹的ocinstall.log文件，可以使用下面命令逐步阅读

more ocinstall.log

空格键，向下滚动一屏；Ctrl+b，返回上一屏；q，退出。

一般情况下安装成功之后，服务器就在启动状态了。

这里可以简单使用本地浏览器查看服务器信息，在本地浏览器输入https://IP或域名:（英文冒号）端口

如果您仍然无法连到服务器或者出现其他问题，那么请使用debug模式。

如果您以前使用了该脚本进行安装，这里请先通过前面所说的，更新一下脚本。

首先关闭服务器，然后开启调试模式

/etc/init.d/ocserv stop
/etc/init.d/ocserv debug

此时不要关闭终端，使用客户端登录服务器，在终端屏幕下就会显示即时日志，以供调试改错。

2，简单用户管理

a，用户名密码验证方式

若要新建可用用户，输入以下命令

sudo ocpasswd -c /etc/ocserv/ocpasswd 999

这里的 “999”是新建的用户名。接着输入两次同样的密码，完成新建用户。

b，证书登录方式

所有用户的p12证书文件可以在放置脚本的目录下找到，导入证书时请输入自己设定的密码。

新建客户证书用以下命令

bash ocservauto.sh gc

吊销客户证书请使用下面命令

bash ocservauto.sh rc

3，脚本其他参数说明

a，平滑升级ocserv

请输入以下命令，原来的用户数据都会保留

bash ocservauto.sh ug

b，强制重装ocserv

请输入以下命令，注意这会使您的用户数据和配置丢失

bash ocservauto.sh ri

c，同时开启证书登录和用户名密码登录

请务必首先选择任意一种登录方式来完成安装，接着再使用下面命令

bash ocservauto.sh pc

d，关于相同客户端证书可以登录多个服务器的方案

假定我们有三台服务器ABC。

在A服务器上，通过本脚本安装ocserv并选择使用证书登录方式。

于/etc/ocserv目录下可以找到ca-cert.pem文件。这里复制备用，ca-cert.pem不用保密，可以直接挂在公网上。

在BC服务器上下载本脚本，并且请在同文件夹下放置A服务器上的ca-cert.pem，然后执行

bash ocservauto.sh occ

这里ABC服务器共用了A服务器的验证证书。

想要获取新证书，请在A服务器上执行

bash ocservauto.sh gc

也可以使用该客户端证书登录BC服务器。

如想要吊销证书，请在A服务器上执行

bash ocservauto.sh rc

吊销所有想要吊销的证书。

由于不支持在线吊销证书列表，所以必须还要把A服务器上的/etc/ocserv/crl.pem文件同时复制到BC服务器相同位置，且把ocserv的配置文件中的

#crl = /etc/ocserv/crl.pem

去掉注释，最后重启BC服务器的ocserv。
二，使用步骤

这里以安卓为例，由于是自签证书，需要关掉客户端设置中的“阻止不信任的服务器”。

服务器需要填写的是自己服务器的地址加端口，例如9.9.9.9:999，必须要填写自己的端口！

关于客户端的获取，安卓、IOS、WindowsPhone在官方市场可以获取，特殊说明的是WindowsPhone是BETA版，如下

http://www.fanyueciyuan.info/jsxj/wp-anyconnect.html

三，附加说明

1，所有配置文件统一放到了/etc/ocserv/文件夹下，管理脚本为/etc/init.d/ocserv 。自行修改配置后，可以使用下面命令重启服务。

/etc/init.d/ocserv restart

2，该脚本下ocserv的证书逻辑。

a，用户名密码登录

自签CA（证书授权中心），取得ca-cert.pem（不需要保密，类比公钥）和ca-key.pem（需要保密，类比私钥）。

CA签发信任服务器证书，取得server-cert.pem（不需要保密，类比公钥）、server-key.pem（需要保密，类比私钥）。

该模式下，密码库是/etc/ocserv/ocpasswd文件。

如果想使用购买的服务器证书，请参考Nginx服务器证书配置，只需将对应的crt、key 文件重命名为server-cert.pem、server-key.pem，并覆盖到/etc/ocserv/文件夹下面。

b，证书登录

自签CA（证书授权中心），取得ca-cert.pem（不需要保密，类比公钥）和ca-key.pem（需要保密，类比私钥）。

CA签发信任服务器证书，取得server-cert.pem（不需要保密，类比公钥）、server-key.pem（需要保密，类比私钥）。

CA签发信任客户端证书，最终取得username.p12。

这里证书授权中心的ca-cert.pem既当作服务器证书的根证书，也当作客户端证书的验证证书。

由于CA证书当作验证证书，签发客户端证书就需要这个ca-key.pem，可以比同为密码库。

如果想使用购买的服务器证书，请参考Nginx服务器证书配置，只需将对应的crt、key 文件重命名为server-cert.pem、server-key.pem，并覆盖到/etc/ocserv/文件夹下面。

3，改善优化

修改的参数都在/etc/ocserv/ocserv.conf文件中。

a，对于某些移动宽带、长城带宽等，往往经过了很多重NAT，容易出现连接成功但是无法打开网页情况，请改小dpd、mobile-dpd数值。

b，如果vps对于本地延迟甚高，取消注释output-buffer项。

windows

第一种

.找到启动文件夹，我的是C:\Users\ThinkPad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup，或者打开运行，输入shell：startup，回车，也可以快速打开启动文件夹。

第二种
任务计划

第三种
本地组策编辑器
gpedit.msc
和第一种相似，但是这里可以添加参数

不会再启动项显示，比较推荐

第四种

添加服务自动运行
1.开始—运行—cmd—回车，在弹出的窗体中输入如下命令：
sc create Debug binPath= D:\Debug\authSender.exe start= auto，其中Debug为将要创建的服务名。要删除创建的服务也很简单，使用以下命令即可：sc delete ServiceName
2.打开控制面板—管理工具—服务（或者 开始—运行—services.msc—确认）打开服务管理器，看看你创建的服务已经在里面了，至此，服务运行已创建完成。

第五种
用nssm.exe工具

schtasks /Create /TN “DnsJumper_sai” /tr “C:\Users\sai\Desktop\9.exe /st” /sc ONLOGON

1、修改系统时区（不修改的话，你同步时间会发现总是不对）

ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime –这里我修改为了上海
2、安装ntpdate

yum -y install ntpdate
3、更新时间

ntpdate ntp1.aliyun.com –这里使用的阿里服务器，其余的可以百度ntp服务器就有了
4、将时间同步到BIOS里面，这样下次启动时，就会自动更新了

clock -w