ocserv

ocserv（又称OpenConnect服务器）是一个开源的命令行OpenConnect VPN（虚拟专用网络）解决方案，搭载SSL（安全套接字层）。它的设计工作实现的AnyConnect SSL VPN协议的GNU / Linux服务器上。该软件是安全的，可配置的，携带方便，快，体积小，且依赖于标准协议，诸如数据报的TLS和TLS 1.2.Features在glanceKey特征包括与OpenConnect VPN客户端完全兼容。其他的AnyConnect SSL VPN客户端的实验性支持，允许VPN用户使用证书，密码验证方法或这两种方法的任意组合来认证的能力。无特权的工作进程会自动分配给身份验证的用户，也将获得一个地址池中配置的IP和网络（屯）的设备。
在其他有趣的功能，我们可以提到一个管理界面，使您可以监视登录的用户，对于TCP封装，IPv4和IPv6网络协​​议的支持的支持，支持路线推进，用于存储服务器密钥的支持TPM（可信平台模块），在智能卡上，或在一个HSM（硬件安全模块）。另一个有趣的特点是，它提供了压缩不支持（详见本项目＆rsquo的;的主页了解更多详情）。支持两个并发VPN channelsIt提供了双UDP / TCP VPN通道，并使用标准的IETF（互联网工程任务组）的安全性协议以保持它在任何时候都受到保护。它还使用特权分离，沙盒，弹性和会计，以确保OpenConnect SSL VPN channel.Under引擎盖和availabilityThe程序是完全用C编程语言和运行在一个控制台/终端环境，这意味着它的功能没有图形用户界面（GUI）。它是可供下载的万能源存档，安装在支持32位和64位架构的任何GNU / Linux的操作系统。用户还可以从他们的Linux发行版的默认软件仓库安装

什么在此版本中是新的：

• 在该捆绑的protobuf-C被更新为1.0.1。
• 修正了变通崩溃的无限循环。

什么版本0.3.1的新：

• 在饼干修正解码。这将防止问题所在服务器无法解析客户端的cookie。
• 更改的X CSTP-MTU是考虑到所述方法，以避免较小MTU的大小比预期的。
• 在Linux的修正IPv6地址分配（等价代码BSD衍生工具是未经测试）。
• 在默认的配置文件改为/etc/ocserv/ocserv.conf和ocpasswd到/ etc / ocserv / ocpasswd默认的密码文件。
• 在增加了对ocserv.conf多个DNS和NBNS服务器的支持。 “本地”关键字不再支持。
• 在添加了新的配置选项分割DNS和自定义头。
• 当seccomp正在使用的禁系统调用返回的过程中被杀害的错误信息。
• 在更新密钥的时间现在可以使用密钥更新时间选项进行配置，并将其设置为零时，也可以禁用。
• 在重新生成密钥的方法变更为SSL使用新隧道rehandshakes代替。
• 在添加了支持[新增＆QUOT; IPv6地址发送标题。如果客户端发送＆QUOT已启用; X-CSTP-全IPv6的能力：真＆QUOT;
• occtl：接口统计收集固定

什么在0.3.0版本新：

• 在添加occtl控制工具ocserv，可可用于查询所连接的用户的服务器，并执行特定操作，如重装服务器的配置，停止服务器或断开连接的用户。
• 在增加了对systemd插座激活服务支持。
• 在OpenConnect DTLS密码套件增加了优先级，以确保服务器对所选择的一个发言权（和阻止客户端时，AES支持双方协商3DES）。
• 在IP地址的日志信息更好的显示效果。
• 在添加了使用-DBUS配置选项。它可以用于禁用D-BUS服务（并且因此occtl实用程序的使用情况）。
• 添加（可选）依赖protocolbuffer-C，允许简单的操控性和内部IPC协议更容易扩展。
• 在其中，如果启用它允许客户端通过发送它的证书在不同的TLS会话进行身份验证新增配置选项思科客户compat的。一个cookie用于会话关联。
• 在更新seccomp规则，允许使用的工作进程的系统调用。
• 在允许TLS rehandshakes在TCP通道。

什么在0.2.3版本新：

• 添加X-CSTP许可证头客户端回复针对移动客户端的兼容性。补丁凯文Cernekee。
• 当一个新的连接提供了一个现有会话这个cookie上届会议断开的一个cookie（其IP被劫持）。如果没有先前的会话是活动的，则服务器将尝试分配以前使用的IP地址。
• 如果UDP端口未设置或设置为零，则服务器将不监听UDP会话。
• 在使用PAM允许它更新的用户名。
• 当始终需要证书设置为false不要求cookie认证证书。
• 在新增的净优先配置选项。
• 修正的主要TLS通道发送DPD的。报告和初步修复凯文Cernekee。
• 在增加了对Linux中的cgroup支持。

什么在0.2.2版本新：

• 在该系统的HTTP解析器库使用（如果存在）而不是捆绑。
的
• 在该系统libopts库使用，如果AUTOGEN存在。
• 添加--http调试选项ocserv。
• 在增加了1.2 DTLS下AES-GCM支持（需要的GnuTLS 3.2.7）。
• 在更精确的计算MTU（需要AES-GCM密码套件）
• 请不要使用MTU比一开始提出openconnect较大。

什么在0.2.0版本新：

• 在新增的配置指令“配置每用户”和“配置，每个组”。它们允许加载每个用户或每个组从安装目录中的其他配置的客户端。
• 新增的IPv6前缀的配置选项，以取代IPv6的网络掩码。新的选项接受IPv6子网前缀。
• 在加入'iroute“配置指令，只适用于组或用户配置文件。它允许基于客户端连接在服务器上设置的路线。
• 在只使用证书认证更正。
• 从主的UDP文件描述符工人被转每分钟一次，以避免重复DTLS客户端hello消息撕裂工人的会话。

指定连接脚本时，
• 修正客户端断开连接的问题。

什么在0.1.7版本新：

• 在相反的暗示不同DTLS和CSTP MTU值，提供一个单一的值，以对等。这避免了问题openconnect其内容的建议值中的一个而忽略其他。
• 在增加配置选项＆QUOT;输出缓冲＆QUOT;允许高吞吐量和低时延之间进行选择（如下类似openconnect变化）。
• 已启用配置选项＆QUOT; MTU＆QUOT;
• 在配置文件的解析进行了修改，允许检测指令和未知的选项mispellings。

什么在0.1.5版本新：

• 在允许一个以上的更强大的支持PAM的因子认证。在实践中，这允许鉴定与一个以上的密码（例如，用一个永久的和一次性密码），以及改变所述密码。
• 在这时候，Cookies不再存储在服务器端。服务器现在是无状态的。随机生成的密钥用于加密和认证发送给客户端的cookie。
• 在添加测试套件。它要求＆QUOT;请检查＆QUOT;要以root身份运行（为了能够运行服务器）。
• 在绕道的AnyConnect自动下载机制。补丁凯文Cernekee。
• 在反向转义的HTML格式的密码，或用户名。通过P.H.报道VOS。

什么是0.1.2版本，新的：

• 在一些更新，让编译在FreeBSD下
• 在允许之前租赁的IP来ping它，以检查它是否正在使用中。
• 在ocpasswd接受选项，锁定和解锁用户。
• 在一些更新，让CISCO公司的AnyConnect客户端连接到该服务器。

要求：

• 的GnuTLS