iOS 不越狱的情况下有类似 Goagent 或者 shadowsocks 的 breakwall 方案吗？ - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
已注册用户请 &
Sponsored by
100offer 程序员拍卖，让不缺工作机会的优秀程序员，安全匿名的在一个月内拿到 10 - 15 个优质面试机会，从而拥有一份激（shou）动（ru）人（geng）心（gao）的事业。
Promoted by
iOS 不越狱的情况下有类似 Goagent 或者 shadowsocks 的 breakwall 方案吗？
· 77 天前 · 931 次点击
iPhone不想越狱，所能找到的都是需要手动连接上VPN，全部走代理，无法自动识别墙内墙外我平时只是想用Google搜索和inbox by gmail而已，有那种能自动识别墙内墙外的App吗
11 回复 &| &直到
11:24:38 +08:00
& &77 天前
墙内墙外各一台主机，墙外安装shadowsocks，墙内安装cow。wifi下修改http代理，3g/4g下用「iPhone配置实用工具」做一个证书安装。
& &77 天前 via iPhone
折腾大半个月后any connect还是最省心的
& &77 天前
& &77 天前
@ 一劳永逸
& &76 天前
一楼说的东西，俗称APN，可以够买的，一般一年100元左右吧。是目前iOS上最方便的梯子。
& &76 天前
@ 有不错的推荐吗?
& &76 天前
APN好像搞不定DNS污染问题？
& &76 天前
@ 没太明白any connection是只使用Cisco anyconnection 作为客户端然后购买别的VPN提供商的套餐吗？
& &76 天前
@ 有很多的，比如曲径/，vpnso
& &76 天前
@ 还有这个便宜的：
& &76 天前
@ 用ocserv来搭建服务器端，anyconnect客户端，不需要越狱也有无缝VPN体验（实时自动连接）。 IOS其他解决方案都需要手动连接的
& · & 889 人在线 & 最高记录 1307 & · &
创意工作者们的社区
Lovingly made by OLIVIDA
VERSION: 3.8.1 · 33ms · UTC 04:34 · PVG 12:34 · LAX 20:34 · JFK 23:34? Do have faith in what you're doing.您现在的位置：&&>>&&>>&&>>&&>>&正文
思科路由器FTP&IOS
&&& R1（config）#ip ftp username zhj&&& &&& R1（config）#ip ftp &&& &&& R1#copy ftp flash:&&& &&& Address or name of remote host []? 192.168.1.210&&& &&& Source filename []? sslclient-win-1.1.4.179-anyconnect.pkg&&& &&& Destination filename [sslclient-win-1.1.4.179-anyconnect.pkg]?&&& &&& Accessing …
【责编:peter】
?&[]?&[]?&[]?&[]?&[]?&[]?&[]?&[]?&[]?&[]
　友情推荐精华
　专题推荐
　?　?　?　?　?　?　?　?　?　?
　今日更新
?&?&?&?&?&?&?&?&?&?&
　认证培训
　频道精选
　思科频道导航& VPS上基于Debian搭建和配置ocserv（兼容Cisco AnyConnect客户端）
VPS上基于Debian搭建和配置ocserv（兼容Cisco AnyConnect客户端）
是一个开源的 SSL VPN服务器，使用 GnuTLS作为 SSL library，但 Debian 7 stable 里的 GnuTLS版本太旧，需要先升级至 2.15以上的版本。
如果在用的 VPS操作系统是 Debian 6，需要先把 ，然后用 登录 VPS修改一下 /etc/apt/sources.list 文件里的源，添加如下一行
deb http://ftp.debian.org/debian wheezy-backports main contrib non-free
登录 VPS，安装 GnuTLS
apt-get update
#更新一下软件源
apt-get -t wheezy-backports install libgnutls28-dev
下载并解压 源代码压缩包
cd /usr/src
wget ftp://ftp.infradead.org/pub/ocserv/ocserv-0.8.4.tar.xz
tar Jxvf ocserv-0.8.4.tar.xz
cd ocserv-0.8.4
编译前先进行配置，为了更清晰地显示出错信息，可把配置结果导出为一个临时文件如 /tmp/config，我这里提示缺少六个软件包
./configure --prefix=/usr --sysconfdir=/etc & /tmp/config
#反馈如下出错内容
root@(none):/usr/src/ocserv-0.8.4# ./configure --prefix=/usr --sysconfdir=/etc & /tmp/config
configure: WARNING:
*** autogen not found. Will not link against libopts.
configure: WARNING: ***
*** libprotobuf-c was not found.
configure: WARNING: ***
*** libtalloc was not found.
configure: WARNING: ***
*** libreadline or editline was not found. occtl will not be built.
configure: WARNING:
*** libhttp-parser not found.
*** An included version of the library will be used.
configure: WARNING:
*** libpcl (portable co-routines) was not found.
*** An included version of the library will be used.
于是根据参考文章安装依赖包
apt-get install libgmp3-dev m4 gcc pkg-config make gnutls-bin
apt-get install build-essential libwrap0-dev libpam0g-dev libdbus-1-dev \
libreadline-dev libnl-route-3-dev libprotobuf-c0-dev libpcl1-dev\
libopts25-dev autogen libgnutls28 libgnutls28-dev libseccomp-dev
重新配置，还是如上面一样的出错提示，继续安装依赖包
apt-get install libreadline-dev libpcl1-dev autogen libtalloc-dev
还是提示缺少 libprotobuf-c 和 libhttp-parser 这两个软件包，实在搞不定于是放弃（已解决，见本文末尾的更新）。继续编译和安装，没有提示 error但还是会有 warning，继续无视
make && make install
certtool --generate-privkey --outfile ca-key.pem
cat && _EOF_ &ca.tmpl
cn = &VPN CA&
organization = &Big Corp&
serial = 1
expiration_days = 9999
signing_key
cert_signing_key
crl_signing_key
certtool --generate-self-signed --load-privkey ca-key.pem --template ca.tmpl --outfile ca-cert.pem
certtool --generate-privkey --outfile server-key.pem
cat && _EOF_ &server.tmpl
organization = &MyCompany&
expiration_days = 9999
signing_key
encryption_key
tls_www_server
certtool --generate-certificate --load-privkey server-key.pem --load-ca-certificate ca-cert.pem --load-ca-privkey ca-key.pem --template server.tmpl --outfile server-cert.pem
复制证书到指定的目录
cp server-cert.pem /etc/ssl/certs/
cp server-key.pem /etc/ssl/private/
生成 的配置文件
cd /usr/src/ocserv-0.8.4
mkdir /etc/ocserv && cp doc/sample.config /etc/ocserv/ && mv /etc/ocserv/sample.conf /etc/ocserv/ocserv.conf
根据 修改配置文件 /etc/ocserv/ocserv.conf ，没有启用 PAM radius，下面列出我修改过的地方
#auth = "plain[./sample.passwd]"
auth = "plain[/etc/ocserv/ocpasswd]"
#auth = "pam"
#max-clients = 1024
max-clients = 16
#max-same-clients = 2
max-same-clients = 10
# TCP and UDP port number
tcp-port = 443
udp-port = 443
#server-cert = ../tests/server-cert.pem
#server-key = ../tests/server-key.pem
server-cert = /etc/ssl/certs/server-cert.pem
server-key = /etc/ssl/private/server-key.pem
#run-as-group = daemon
run-as-group = nogroup
# The pool of addresses that leases will be given from.
#ipv4-network = 192.168.1.0
ipv4-network = 10.10.0.0
ipv4-netmask = 255.255.255.0
# dns = fc00::4be0
#dns = 192.168.1.2
dns = 8.8.8.8
dns = 208.67.222.222
#route = 192.168.1.0/255.255.255.0
#route = 192.168.5.0/255.255.255.0
#route = fef4:db8:::/64
添加用户名和密码，根据提示设置密码
ocpasswd -c /etc/ocserv/ocpasswd 用户名
运行如下命令实现 NAT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p udp --dport 443 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -s 10.10.0.0/24 -j ACCEPT
echo 1 & /proc/sys/net/ipv4/ip_forward
还要将如上五行添加到 /etc/rc.local文件里（添加在 exit 0那一行之前），以避免VPS重启后NAT功能失效。
现在可以调试运行一下
ocserv -c /etc/ocserv/ocserv.conf -f -d 1
正常的话就用 ctrl+c 组合键中断程序，用 新建一个启动脚本 /etc/init.d/ocserv，内容如下
### BEGIN INIT INFO
# Provides:
# Required-Start:
$remote_fs $syslog
# Required-Stop:
$remote_fs $syslog
# Default-Start:
# Default-Stop:
### END INIT INFO
# Copyright Rene Mayrhofer, Gibraltar, 1999
# This script is distibuted under the GPL
PATH=/bin:/usr/bin:/sbin:/usr/sbin
DAEMON=/usr/sbin/ocserv
PIDFILE=/var/run/ocserv.pid
DAEMON_ARGS="-c /etc/ocserv/ocserv.conf"
case "$1" in
if [ ! -r $PIDFILE ]; then
echo -n "Starting OpenConnect VPN Server Daemon: "
start-stop-daemon --start --quiet --pidfile $PIDFILE --exec $DAEMON -- \
$DAEMON_ARGS > /dev/null
echo "ocserv."
echo -n "OpenConnect VPN Server is already running.\n\r"
echo -n "Stopping OpenConnect VPN Server Daemon: "
start-stop-daemon --stop --quiet --pidfile $PIDFILE --exec $DAEMON
echo "ocserv."
rm -f $PIDFILE
force-reload|restart)
echo "Restarting OpenConnect VPN Server: "
if [ ! -r $PIDFILE ]; then
# no pid file, process doesn't seem to be running correctly
PID=`cat $PIDFILE | sed 's/ //g'`
EXE=/proc/$PID/exe
if [ -x "$EXE" ] &&
[ "`ls -l \"$EXE\" | cut -d'>' -f2,2 | cut -d' ' -f2,2`" = \
"$DAEMON" ]; then
# ok, process seems to be running
elif [ -r $PIDFILE ]; then
# process not running, but pidfile exists
# no lock file to check for, so simply return the stopped status
echo "Usage: /etc/init.d/ocserv {start|stop|restart|force-reload|status}"
设成开机自启动，最后重启系统
update-rc.d ocserv defaults
当然还可以在 /etc/rc.local文件中添加一行 ocserv服务端重启命令
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p udp --dport 443 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -s 10.10.0.0/24 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
/etc/init.d/ocserv restart
顺便提一下，我在 Nexus 4（4.4.4）上使用 Cisco官方的 ，通过联通3G的话会提示出错“无法应用系统配置设置..” ，改用wifi走电信宽带就正常了，而换成
的话则都正常，Cisco官方的 、 也都正常。
ocserv服务端默认使用端口 TCP 443 和 UDP 443，可以在配置文件 /etc/ocserv/ocserv.conf 中自定义然后重启服务端，在客户端访问时只需在服务器栏里填入“VPS的公网ip或域名:端口”的格式即可。
可以在 ocserv服务端配置路由推送，以便在如未越狱的iOS设备上实现自动分流翻WALL，只需在配置文件 /etc/ocserv/ocserv.conf 中添加一行或多行 “route = ip网段/子网掩码”，除访问相应的ip会走vpn通道之外，其余的流量还是走平时的通道（而如果没有设置过路由，则默认所有的流量都会走vpn通道，会明显影响访问国内网站的速度）。
ocserv服务端默认最多只能推送64条路由，不过按
里的方法可以自定义。用
登录VPS，在源代码目录下的 src/vpn.h文件中找到如下的一行并修改掉默认的64（过大的数值可能会出错，按该帖子评论里的说法， 最多只能接受200条推送的路由）。
#define MAX_CONFIG_ENTRIES 64
修改完成后重新编译安装 ocserv，然后在配置文件 /etc/ocserv/ocserv.conf 中添加相应的路由，该帖子作者也提供了其个人维护的路由表供参考，已搬运到
供下载。另外， 也有人提供了路由表供参考。
对于 Windows等平台的客户端（Android平台需要先root、iOS要先越狱），除了由 ocserv服务端推送之外，还可以在客户端本地自行加载更多的路由表。
最后，可能需要在客户端的设置里启用 “VPN FIPS Mode”，有时 ocserv服务端推送的 DNS无法正确解析域名（可用 ping等命令检查），导致推送的路由表亦不能发挥作用。
Android或iOS等客户端在设置中启用 FIPS Mode很方便，而对于 Cisco官网的
客户端程序则要稍麻烦些，在win7环境里安装后需要修改 C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\AnyConnectLocalPolicy.xml 这个文件以启用 FIPS Mode，不过这样会造成最新版的 V4.0.00048启动时闪退，V3.1.06073则正常。
另外，按照 ，启用 FIPS Mode之后比如 win7系统会自动修改注册表 HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy 的 Enabled键值（0变成1），导致连接WinXP的RDP Server的话会提示 fips出错（连接win7的RDP Server则不受影响，无论NLA是否开启），注册表参数改回0就正常了，不过这时
启动又会出错，只能来回切换。
这时如果再把
从V3.1升级到 V4.0，则在启用 FIPS Mode的情况下不会闪退，似乎是 V4.0无法让 win7自动修改注册表的缘故？
提到编译时提示缺少 libprotobuf-c 和 libhttp-parser 这两个软件包的解决办法，需要在 /etc/apt/sources.list 文件里添加如下一行
deb ftp://ftp.debian.org/debian/ jessie main contrib non-free
为防止已安装的软件包被更新至 backports 或者 jessie 版本，还需新建 /etc/apt/preferences这个文件，内容如下
Package: *
Pin: release wheezy
Pin-Priority: 900
Package: *
Pin: release wheezy-backports
Pin-Priority: 90
Package: *
Pin: release jessie
Pin-Priority: 60
现在可以安装 libprotobuf-c 和 libhttp-parser 这两个软件包了
apt-get update
#更新一下软件源
apt-get -t jessie install libprotobuf-c-dev libhttp-parser-dev
最后重新编译安装 ocserv即可。
, , , , , , ,
Recent Posts< 2014 年 11 月促销！新增高级版节点，5 折半价优惠中！ 【发源地快照】
上架了 Shadowsocks 高级版，新增两个亚洲节点（新加坡 CN2 线路、台湾中华电信机房），同时高级版支持 5 个设备登录。
原价 399 元一年的高级版帐号，促销期间一律 5 折，优惠码：50off
我们目前限量发售 99 个高级版帐号，普通版用户也可以随时升级到高级版，仅需支付差价即可，如之前支付了 99 元一年的普通版，在优惠促销期间，仅需支付 100 元差价，即可升级到高级版帐号并延长一年使用时间。
购买地址： /link.php?id=1
普通版目前暂时没有优惠哦
高级 帐号 节点
03:07:58 +08:00
19 小时 21 分钟前
iOS不越狱没法用啊，咋支持。还有速度如何？？？这个最关心。
19 小时 19 分钟前
普通版升级到高级版如何付费？直接付款到你的支付宝，然后截图么？
19 小时 18 分钟前
后台发服务单到财务部门，我会开账单给你。
可以用在路由器里，新加坡 Krypt 机房，我这边看 YouTube 4k 都是满速的。。
19 小时 14 分钟前
不过我本地的小水管是 20Mbps 的，就算满速了看 4K 还是要缓冲一会，一般看 720p 无压力
19 小时 11 分钟前
速度咋样啊，能试用吗
19 小时 10 分钟前
已升级。Excited!
19 小时 9 分钟前
购买后 12 小时内不满意可以退款，试用半天应该够了吧？
19 小时 9 分钟前
谢谢，我试试
19 小时 9 分钟前
感谢亲的支持，正在给您分配新帐号。
19 小时 7 分钟前
能申请个测试帐号吗？我这边跑P大的新加坡节点80M满速（100M路由器隔墙），台湾节点70M左右。但是anyconnect的性能问题一直没有解决，iPhone上用得很不爽，我打算越狱走shadowsocks，正好这几天越狱出了！
19 小时 3 分钟前
不能，iPhone 上我自己用的是 Cisco IPsec，有需要的时候再去连。
19 小时 2 分钟前
如何升级购买啊？
18 小时 59 分钟前
上午刚看过，感觉高级版好像不错的样子，然后没货
几分钟前又看了一下，发现高级版有货了，在想要不要买
然后这会一进 V2EX 就发现打五折！还好刚刚没下手啊
18 小时 53 分钟前
已经购买了，要确认多久？
18 小时 39 分钟前
一下子来的订单太多，正在一个一个处理，请不要着急哦
发个服务单给财务部门，然后会发送给您升级的账单，支付后通知我们就行了。
@anjianshi
哈哈，那现在就不要错过机会了。
18 小时 37 分钟前 via Android
前两天问你们还说正在内测暂不开放，结果今天就开放购买还五折（我正嫌贵犹豫呢），赞一个
什么时候再有优惠啊 想买