AnyConnect 客户端连接 ocserv 的时候提示无法下载配置文件有人遇到过否?
coolcfan · 2015-02-25 17:25:40 +08:00 · 9845 次点击这是一个创建于 3538 天前的主题,其中的信息可能已经有所发展或是发生改变。
Fedora 21 Server,ocserv版本0.9.2,是用从Fedora网站下载的rpm安装的;SELINUX已关闭,由于rpm安装的ocserv默认用443,直接在firewalld里开了https service。
2月 25 17:15:04 SERVER_HOST_NAME ocserv[1017]: GnuTLS error (at worker-vpn.c:349): A TLS fatal alert has been received.: Unknown certificate
2月 25 17:15:04 SERVER_HOST_NAME ocserv[959]: main: CLIENT_IP:33001 main-misc.c:506: command socket closed
2月 25 17:15:30 SERVER_HOST_NAME ocserv[1020]: worker: CLIENT_IP:32915 cannot load config file '/var/lib/ocserv/profile.xml'
2月 25 17:15:30 SERVER_HOST_NAME ocserv[959]: main: CLIENT_IP:32915 main-misc.c:506: command socket closed
2月 25 17:15:31 SERVER_HOST_NAME ocserv[959]: main: CLIENT_IP:32844 main-misc.c:506: command socket closed
上面是我用systemctl status看到的ocserv的输出。
那个profile.xml明明是存在的,而且权限方面也是可读的,为何会无法load呢?
第 1 条附言 · 2015-02-25 18:07:31 +08:00
看了眼代码(表示已经看不懂c了……)
ret = stat( ws->config->xml_config_file, &st);
if (ret == -1) {
oclog(ws, LOG_INFO, "cannot load config file '%s'", ws->config->xml_config_file);
cstp_printf(ws, "HTTP/1.%u 404 Not found\r\n", http_ver);
return -1;
}
所以 stat() 函数返回的值是 -1;
ret = stat( ws->config->xml_config_file, &st);
if (ret == -1) {
oclog(ws, LOG_INFO, "cannot load config file '%s'", ws->config->xml_config_file);
cstp_printf(ws, "HTTP/1.%u 404 Not found\r\n", http_ver);
return -1;
}
所以 stat() 函数返回的值是 -1;
第 2 条附言 · 2015-02-25 18:49:30 +08:00
补充下,这个 rpm 自带的 ocserv.conf 里,
run-as-user = ocserv
run-as-group = ocserv
而那个 profile.xml 的所属者也是 ocserv:ocserv (我改的……)
run-as-user = ocserv
run-as-group = ocserv
而那个 profile.xml 的所属者也是 ocserv:ocserv (我改的……)
9 条回复 • 2015-08-13 19:50:01 +08:00
 |
1
sdysj 2015-02-25 18:10:18 +08:00
证书格式有问题?
|
 |
2
coolcfan OP @sdysj 前面那步的报错,不管是用rpm自动生成的还是我自己生成的证书都会出现;但是我不明白的是,为什么 stat(path-to-xml-file, &st) 会返回 -1……
|
 |
3
zk8802 2015-02-25 19:49:50 +08:00  1
1. 我的配置文件中没开 user-profile,Cisco AnyConnect 也可以连接。
2. 你要不要试一下 strace,看看 stat 具体为什么发生错误? |
|
4
coolcfan OP @zk8802 我不开 user-profile,思科的客户端会报错;strace 看起来会很有用,一会儿试试~
我贴的那段代码之前的一段是判断,如果 user-profile 没有设置而客户端请求了这个文件,就报错并给客户端返回一个 404;也就是说,你的客户端没有请求这个文件?是 iOS 还是 Android,什么版本? |
|
5
zk8802 2015-02-26 00:50:54 +08:00
iOS, Cisco AnyConnect Secure Mobility Client 3.0.12119.
|
 |
6
hap8875 2015-02-26 23:22:34 +08:00
我也遇到了同样的问题,Cisco AnyConnect iOS 客户端上可以连上也上不了网,日志一直在显示没办法识别MTU,不断地降低MTU值,最后握手失败
|
 |
7
tyang 2015-06-23 14:30:05 +08:00
我也碰到了同样的问题,请问LZ后来有找到解决方案么?
|
|
8
coolcfan OP @tyang 编译安装了一个,那配置文件里user-profile这部分设置默认是注释掉的,但是好用。我之前用从源安装的版本,把这部分注释掉,却不好用……
|
 |
9
tmqhliu 2015-08-13 19:50:01 +08:00
今天遇到了同样的问题。 看到注释里说 profile.xml 必须对 chroot 后的 worker process 可见。发现使用默认的 user-profile = profile.xml 即可。 profile.xml 和上层目录的所有者都是 ocserv:ocserv 这样就可以连上了,使用的是 anyconnect 4.1.02011
|
Select Language