iOS 8 支持 Always On 和 IKE2 VPN 了

@cattyhouse 请问你有没有已经配置好的server。我想测试一下看看...

@goodbest 我只在windows phone用了。其他的不知道怎么弄

@coolicer 或许我可以试试到底ios上怎么搞...
不介意的话可以把具体信息email给 gmail # lovegoodbest

@goodbest 只要勾选了 always on，就需要把设备变为监督。on demand 是不需要的。我还没有配置服务器。

@cattyhouse 这家似乎支持14天无条件退款。。。要不要猥琐一下。。。

@cattyhouse 话说楼主是不是有点错误理解12vpn的网站的意思了。。。从截图来看看不出来12vpn支持Always On的IKEv2，而且其后还专门有这么一段：

How to connect to the VPN automatically?

Please go to Settings > VPN and tap open the settings for your preferred VPN server. Then switch on the On-Demand option. Note that the On-Demand option responds to a limited number of domains.

也就是说连On-Demand都需要手动打开，并不是Profile指定的？

@wzxjohn 我没有误解，我是发邮件给他们确定一下，我用了 or，因为我也不确定是不是两者都支持。后来他们回覆邮件给我了，附带了一个没有敏感信息的配置文件，用于 iOS 8 IKEv2/IPSec的，支持 on demand。

总之，要开启always on 必须把设备弄成 supervised模式。

@cattyhouse 原来如此。可以公开一下这个配置文件么？

@cattyhouse 不可以贡献配置文件么？话说我又看了一下苹果的配置说明，感觉似乎只使用On-Demand就可以实现Always On的功能也。。。

@cattyhouse 期待你把server端弄好。这样好测试client端。
我按照你在主楼给的那个教程搭建server，但其他设备（非ios）也连不上。应该是我没搭建好的原因。

@wzxjohn 可以贡献，但他给我的那个似乎坏掉了，无法装，他把证书服务器等信息删掉了。导致连装都无发装，怀疑他删错了地方。

@cattyhouse lz你来搭建一个server吧...有apple configurator，profile什么的挺好配置的

@cattyhouse 这个应该可以解决，楼主传个网盘发来看看呗~

@cattyhouse 话说这玩意一定要证书认证么？不能用PSK和用户密码来验证身份么。。。

@wzxjohn 发你gmail了

@cattyhouse 已收到。看了一下重要的应该就是这一段：
<key>OnDemandEnabled</key>
<integer>0</integer>
<key>OnDemandRules</key>
<array>
<dict>
<key>Action</key>
<string>EvaluateConnection</string>
<key>ActionParameters</key>
<array>
<dict>
<key>Domains</key>
<array>
<string>facebook.com</string>
<string>twitter.com</string>
<string>dropbox.com</string>
<string>youtube.com</string>
<string>tumblr.com</string>
<string>skype.com</string>
<string>yahoo.com</string>
<string>fbcdn.net</string>
<string>12vpn.net</string>
<string>google.com</string>
<string>gmail.com</string>
</array>
<key>RequiredURLStringProbe</key>
<string>https://host.example.com/nonexistent_url</string>
<key>DomainAction</key>
<string>ConnectIfNeeded</string>
</dict>
</array>
</dict>
</array>


不过苹果官方的解释没太看懂，其中的先后关系不是很明确。我理解的是这样的，在访问Domains里面的域名的时候，系统会去判断，如果这个域名解析失败了，或者访问失败了，就会尝试去建立VPN连接。在建立之前，系统会先访问一下RequiredURLStringProbe中的连接，如果返回码不是200，就建立VPN连接。用这种方式来达到在断线后不需要手动开启VPN，而是在你访问到了某些域名发现不能访问的时候系统自动拉起VPN。

@wzxjohn 没有顺序，访问其中任何一个都会触发VPN自动拨号。

@cattyhouse 我说的顺序不是域名的顺序，这个苹果已经说明了，是从第一个开始逐个匹配。我比较疑惑的是访问RequiredURLStringProbe的时机。这个RequiredURLStringProbe到底在什么情况下会被访问我觉得苹果写的不是很清楚。

@goodbest 我的服务端用Windows连接的话一直报错13806找不到机器证书。。。你遇到过这个问题么。。。

@wzxjohn 我还根本没配置好server呢...