尝试优化了一下 AnyConnect(ocserv)的配置, 欢迎大家测试.

优化了啥？

@ericFork

配置文件:
output-buffer = 23000
try-mtu-discovery = true

服务器:
net.core.rmem_max = 67108864
net.core.wmem_max = 67108864
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432
net.core.netdev_max_backlog = 30000
net.ipv4.tcp_mtu_probing=1

eth0 txqueuelen 10000

东莞电信看youtube只有几十kb的下载速度

联通小水管只能看480p 流畅
http://m.imgur.com/4GDTndB

怎么实现断网重连的？我的貌似断了就断了

我有架，但是速度远不及shadowsocks，我的思路是修改加密算法，但是没成功

iOS端连接正常，PC段无法连接

@pfitseng 如果iOS链接被断开，例如从WI-FI换到3G。AnyConnect应该会自动连上。这个间隙我设置成1天时间。看看你开了漫游没有。

@zjgood 可惜SS不越狱用不了。AnyConnect在手机端很好用，处理内网很不错，很多连不到PPTP，L2TP的地方都可以用，就是太慢了。

@halczy 锁屏后再开好像就断掉了

@pfitseng 是的, 锁屏会自己断开. 这个是iOS的问题. 但是应该会迅速重连.

@halczy 我的好像再开就不重连了,ios8 anyconnect客户端，没越狱

是要在服务器端设置什么吗

@pfitseng 呵呵, 我也不清楚为什么会这样.

@halczy 能说下为什么这么优化么

@ninjai

基本是牺牲Lantancy，加大缓冲来加速。Linux和OpenConnect默认是认为你的网络会在50ms以内。所依缓冲默认很低。但是我们翻墙实际是200ms+左右，加大后速度有所改善。实际原理是为什么我也不清楚。

@halczy 不是缓存低是为了应对延迟高么，缓存高才对应的是延迟低

@ninjai 没错啊。如果延迟太高，就调低缓存。有数据就马上发出去。

@halczy 路由表要不共享出来参考下

有无Centos 7的Anyconnect 配置攻略

https://github.com/wppurking/ocserv-docker
我按照这里的用容器装的ocserv服务为什么ios能连接上，右上显示vpn框框，但是还是不能翻，不知道为啥

@Sunnyyoung https://www.stunnel.info/ocserv-cisco-anyconnect-%E5%85%BC%E5%AE%B9%E6%9C%8D%E5%8A%A1%E7%AB%AF-%E4%B8%80%E9%94%AE%E5%AE%89%E8%A3%85%E8%84%9A%E6%9C%AC-for-centos-7/

@nicai 不清楚Docker为什么不行, 其实直接安装也不难. http://imkevin.me/post/80157872840/anyconnect-iphone

@halczy https://www.stunnel.info/%E5%9C%A8centos-6-5%E4%B8%8A%E9%85%8D%E7%BD%AEcisco-anyconnect-vpn/

请问这个6.5的配置是否适合在centos7的vps上配置

@Sunnyyoung 我没有在CentOS上用过，不过应该没问题的。作者不是有CentOS 7的一键安装吗？

@halczy 安装成功,但是连接不了= =
手机是iOS8.1

@Sunnyyoung

看看路由表打开了没有。http://imkevin.me/post/80157872840/anyconnect-iphone

可以的话，建议还是用Ubuntu，CentOS上很多组件版本都很旧，不兼容OCSERV。

@halczy 是你自己测试的，还是有优化指南呢

@myliyifei

自己一个一个跟着Document开开关关试的. 不过最新0.9版的开了压缩之后output-buffer不没效果了.

"安全网关已拒绝所尝试的连接操作，需要尝试与同一或其他安全网关建立新连接，新连接要求重新进行身份验证。

ios关闭屏幕后一会提示这个？怎么解决呢

@dynfeisu

你是在用我的还是自己建的出现这个提示?

@halczy 那个问题我用了git自己c
编译的就莫名其妙的解决了。现在不知道如何和freeradius连在一起。不知道有没有教程。装哪个版本的freeradius好呢

@dynfeisu 不清楚FreeRadius，不过退回0.8.9版就没有这个问题了。

最近发现这货，用了一下，iPhone 终于可以愉快地上网了，顺便分享个 Docker

https://registry.hub.docker.com/u/tommylau/ocserv/

@halczy 请问 服务器的参数在哪里改？我得是centos 7 谢谢

@halczy vps是centos7，有没有设置anyconnect的教程？谢谢

@ricarekin https://www.stunnel.info/ocserv-cisco-anyconnect-%E5%85%BC%E5%AE%B9%E6%9C%8D%E5%8A%A1%E7%AB%AF-%E4%B8%80%E9%94%AE%E5%AE%89%E8%A3%85%E8%84%9A%E6%9C%AC-for-centos-7/

能贴下配置吗？我配置的ocserv在iOS可以正常连接，但是pc端一直连接不上。

更换域名后会出现证书错误，证书还是用原来的域名。

@pk000 呵呵，还没来得及换证书。

隧道模式，所有流量怎么弄得？

用了你的，连上后提示隧道模式 所有流量
我自己搭建的提示隧道模式 拆分包含

@linzianplay

所有带有 route = xxx.xxx.xxx.xxx 的都注释掉.

#route = 192.168.1.0/255.255.255.0
#route = 192.168.5.0/255.255.255.0

@halczy 我没去掉这些依然可以登录那些网站的说，另外，我那些注释掉了，添加了
route = 0.0.0.0/128.0.0.0
route = 128.0.0.0/128.0.0.0

自己的服务不知道为什么慢成狗了，shadowsocks又很快，
你的那个比我好很多呢

@linzianplay 不影响就好. 如果我的这个快, 可以随便用.

@halczy Thank,我再捣鼓捣鼓

@halczy 我想问问为什么提示错误：ERROR: ca-cert.pem NOT Found !!!
我已经把可以正常运行的 SSL CA 证书拉入这里了，并且改名。
zwen.me，可以访问。
所以试着把 CA 证书拉入你说的 OCSERV 文件夹里。
就报错了：ERROR: ca-cert.pem NOT Found !!!

pem 内容有误？我把三个 CA 根证书合并成一个 CA 证书的并且通过SSL 链接。

@halczy 非常感谢你制作这一键脚本。

AnyConnect不能使用了，能否给个密码？邮箱： [email protected]

@deyxy 已经修复了。过几天换到更稳定的服务器。

halczy 202 天前 5678 次点击

良心，多谢了！

前几天一直链接好好的，今天不管手机还是pc都链接不上服务器，希望楼主尽快查明情况，谢谢

@tzw1997 有没有错误消息? 刚刚自己试了一下是正常的. 还有其他人在上面.

connection attempt has timed out.please verify internet connectivity.不知道什么原因，手机显示的是中文错误u，不过意思一样。昨天晚上还好好的

@halczy 不好意思啊，重装后连上了，可能本地文件有损坏吧，还是谢谢啦！

请问 有时候连接经常出现 无法连接到服务器，请验证 internet 连接和服务器地址是怎么回事

我确认服务器地址应该是正确的，如果楼主方便的话，可否发一份配置文件到我邮箱： [email protected] 非常感谢

感谢为人民服务的楼主

最近好像连接都显示证书不可信任，不知道是什么原因？

@pk000 证书没有变过。注意看一下内容，是 Startcom 的证书，如果域名对就应该没问题。

@halczy 你好，我也是按照那个 github 上分享的 centos7 一键安装 Ocserv ，它的脚本提供了路由表，如下：
sed -i 's$route = 192.168.1.0/255.255.255.0$#route = 192.168.1.0/255.255.255.0$g' "${confdir}/ocserv.conf"
sed -i 's$route = 192.168.5.0/255.255.255.0$#route = 192.168.5.0/255.255.255.0$g' "${confdir}/ocserv.conf"
cat << _EOF_ >>${confdir}/ocserv.conf
# Apple
route = 17.0.0.0/255.0.0.0
route = 192.12.74.0/255.255.255.0
route = 192.42.249.0/255.255.255.0
#route = 204.79.190.0/255.255.255.0
#route = 63.92.224.0/255.255.224.0

我把后面这些以 route 起头的全部标注了，安装完成后能登陆，但 google 这些就打不开，国内的域名就能正常开，不知道他说的如果想全局的话注释掉所有 route 怎么弄，谢谢。

@Dennypalace 把所有 route = xxx 这些删掉后就是全局。连上后进客户端里看是不是 0.0.0.0 / 0.0.0.0

@halczy 好的。。我明天试试，前面那 2 段 sed 开头的不用动吧。。就是删掉从#apple 开始后面的 route 起头的吧。。之前弄了就是翻不了，挺诡异，我明天回去了看看客户端怎么显示的，谢谢。

我想让国内地址不经路由直链访问，国外一律路由，配置文件里的路由部分该如何设置？

断网自动重连的时间在配置文件中如何修改？谢谢

发个福利
Mac 下可以用这个连 ocserv http://t.cn/RyVg0r7
WinXP/7 下是这个 http://t.cn/RyVg0rz

楼主回来了，好

@s7lx 连接反了-_-#

楼主的这个怎么用？求解说

@halczy 楼主现在有 ss 提供吗？收费也成

https://groups.google.com/forum/?hl=zh-CN#!forum/fqlt 楼主可以进驻这里

谢谢 @halczy ,发现现在无法建立到网关的安全连接了。您能检查下服务器吗？谢谢！

@kang000feng 服务器这边正常, 可能是线路有问题.

@halczy 好像被 Q 认证了， PING 得通， tcping 却不通，兄台可以测试下。

@kang000feng 请问你是用哪家 ISP 连? 我用广州电信测试正常, 联通 4G 正常, 但是联通固网宽带连上后的确有掉线的现象. 服务器上移动 /电信 /联通都有人在用.

另外, 无法建立到网关的安全连接可能是 Windows 端 AnyConnect 有问题. http://www.lewan.com/blog/2013/06/02/cisco-anyconnect-vs-internet-connection-sharing-in-windows-8-2

@halczy 电信。我的 ICS 一直是关闭的，进日志详细看了，发现真正错误是 The VPN client was unable to modify the IP forwarding table ，才导致 无法建立到网关的安全连接， google 发现思科官网也声称在 win3.1 有这个 bug ，但是试了多个版本的客户端 3.0/4.0/4.1 都是一样的问题，难道 Windows 端 AnyConnect 兼容性那么低？求楼主支支招。谢谢！

@kang000feng 试试 4.2.01022 这个版本。我在 Win 10 下正常可以连。尽量试多几次。

下载这里有 t/241252

速度很快，谢谢楼主。以前用楼主的 ss 也相当不错可惜楼主不做了。

服务器是哪家的，在哪个城市？

LZ 目前的优化是改了哪些参数？我的 server 速度也不太好，希望能学习提高

我的 vpn 连接一段时间就断了，好像是 keepalive 的问题，默认是九个小时，请问搂着这个怎么解决的，我想长时间在线，改成 0 之后 linux 端暂时没问题，但是 ios 连接后立即就断开了

@329703622

keepalive = 32400
dpd = 30
mobile-dpd = 90
cookie-timeout = 86400
persistent-cookies = true
deny-roaming = false

以下要注释掉.
#idle-timeout = 1200
#mobile-idle-timeout = 2400
#min-reauth-time = 300

@yaoppp 第二个回帖里有参数.
@specialist Psychz 的洛杉矶

thx 。对于我来说 output-buffer 这个参数最有用，另外就是禁用 udp

@halczy 谢谢，我试试！然后再测试一下只用 tcp 的效率怎么样

@halczy ocserv 如何配置监听多个 IP
ocserv.conf 里面有这样一条：
# Use listen-host to limit to specific IPs or to the IPs of a provided
# hostname.
listen-host = [IP|hostname]
那么我应该怎么配置才能让它监听多个 IP 呢？比如 a.a.a.a 和 b.b.b.b ？

@brobird 如果是服务器上全部 IP 都想监听的话, 直接注释掉就好了.

如果只监听两个 IP, 我也没有测试过, 试试下面这样能不能用.
listen-host = [a.a.a.a]
listen-host = [b.b.b.b]

@halczy 貌似只读取了第一行……

@yaoppp 只用 TCP ，视频效果如何？

@specialist 用的过程中没有任何异样

请问楼主是怎么搭建？能给个教程吗？非常感谢！

我用 ocserv 搭建的服务器，我在电脑上可以用，但是手机（ wm10 ）不可以，而楼主你的可以用。所以想请教楼主教程。谢谢！

@yaoppp 能否用数据说话，禁用 UDP 对优化的提升究竟多高？

@specialist 家里宽带 10M ，不禁用 udp 的话，能跑到 6M ～ 7M ，而且从 speedtest 的曲线上来看，每隔 1 秒出现一次掉速，整个曲线是长城状。启用 udp 后可以跑满 10M ，曲线平稳。

@brobird 可以试试 docker bridge

@hbxntsxw win10mobile 的客户端貌似只支持默认的端口：
tcp-port = 443
udp-port = 443
其他配置部分参考此处（除上述两个参数外，其他对 win10mobile 的连接影响不大-_-''）： https://github.com/wppurking/ocserv-docker/blob/master/ocserv/ocserv.conf

试用了一下，可以连接，但是速度很慢， PC 看 youtube 只有 255kb/s ，相当于只有 30KB/S ，速度相比 ss 还是慢了很多呀。

@mikangchan 抱歉，我不会用 Docker ……不过现在我把原来的 SoftLayer 弃了，换了 Vultr ，倒也不用操心了……

想了解以下如果想在国内节点用 ocserv 做网游加速，应该怎么优化延迟？