Digital Ocean 搭建 Strongswan 的 ipsec 讨论

2014-10-11 20:22:43 +08:00
 gissimo
教程基本参考https://gist.github.com/losisli/11081793
这里用到最新的5.2.0,但是是Windows phone。我说iOS,所以还参考了https://wiki.strongswan.org/projects/strongswan/wiki/IOS_%28Apple%29和http://maclue.tumblr.com/post/11947923571/strongswan-ipsec-vpn-for-ios

折腾了一整天,还是服务器无响应。想问有无v2er搭建成功过啊,求指点
9434 次点击
所在节点    问与答
28 条回复
gissimo
2014-10-11 20:23:18 +08:00
第一条网址怎么没发出来。补充在这里:

https://gist.github.com/losisli/11081793
gissimo
2014-10-11 20:23:45 +08:00
https://gist.git 去掉空格 hub.com/losisli/11081793
yxjxx
2014-10-11 20:28:00 +08:00
http://blog.yxjxx.com/2014/08/06/setting-IKEV2-VPN-for-windows-phone.html 这也是windows phone的教程,不知道iOS上是不是一样的?
0zero0
2014-10-11 21:06:25 +08:00
之前搭建过,成功了一次,后来重装系统,再弄的时候,就出现问题了,总的来说是因为OpenSwan的版本兼容性问题。
hanqi7012
2014-10-11 21:45:55 +08:00
openswan也好strongswan也好我就手动设置成功过一次…我太笨…

后来懒了

用脚本

https://github.com/jlund/streisand

默认debian环境吧…我单独利用里面l2tp来自动配置…
caonan
2014-10-11 22:26:50 +08:00
DO还算老实,我的那个 VPS 的 OS 都是他们自己编辑的,把 ipsec 的 kernel 支持全部去掉了。。。
gissimo
2014-10-11 22:29:39 +08:00
@hanqi7012 这个好像没有cisco ipsec吧?
superwbd
2014-10-11 22:33:31 +08:00
Strongswan有时抽风,建议racoon。。。。
fuck010bj
2014-10-12 09:26:32 +08:00
ios 要安装两个证书才能使用cisco ipsec
cattyhouse
2014-10-12 09:40:57 +08:00
可以看看我的v2ex帖子。iOS现在ikev2有bug。
gissimo
2014-10-12 14:51:24 +08:00
@fuck010bj 你成功了吗?我生成了2个证书,都导入到手机安装了,还是 服务器无响应啊
fuck010bj
2014-10-12 15:03:54 +08:00
@gissimo p12那个证书好像要设置密码才行
fuck010bj
2014-10-12 15:05:56 +08:00
@gissimo 把你的针对ios ciscoipsec的ipsec.conf设置部分贴出来看看,上面没有
gissimo
2014-10-12 15:47:30 +08:00
@fuck010bj 对的,生成的时候输入密码,导入ios的时候密码验证

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
strictcrlpolicy=no
uniqueids =yes
conn ios
keyexchange=ikev2
authby=xauthrsasig
xauth=server
left=%defaultroute
leftsubnet=0.0.0.0/0
leftfirewall=yes
leftcert=serverCert.pem
right=%any
rightsubnet=10.0.0.0/24
rightsourceip=10.0.0.2
rightcert=clientCert.pem
pfs=no
auto=add
# Add connections here.

# Sample VPN connections

#conn sample-self-signed
# leftsubnet=10.1.0.0/16
# leftcert=selfCert.der
# leftsendcert=never
# right=192.168.0.2
# rightsubnet=10.2.0.0/16
# rightcert=peerCert.der
# auto=start

#conn sample-with-ca-cert
# leftsubnet=10.1.0.0/16
# leftcert=myCert.pem
# right=192.168.0.2
# rightsubnet=10.2.0.0/16
# rightid="C=CH, O=Linux strongSwan CN=peer name"
# auto=start
fuck010bj
2014-10-12 15:59:07 +08:00
@gissimo cisco ipsec 只能用ikev1吧 rightauth也没设置
fuck010bj
2014-10-12 16:01:31 +08:00
@gissimo
conn iOS-IKEv1
keyexchange=ikev1
fragmentation=yes
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=Server.Cert.pem
right=%any
rightauth=pubkey
rightauth2=xauth
rightsourceip=10.2.0.0/16
rightcert=Client.Cert.pem
auto=add
gissimo
2014-10-12 16:17:25 +08:00
@fuck010bj 我看到那篇文章里用到了ikev2啊
fuck010bj
2014-10-12 16:24:59 +08:00
@gissimo cisco ipsec啊,ikev2的话 iphone要装配置文件
gissimo
2014-10-12 16:50:18 +08:00
@fuck010bj 很感谢,改了后ios能连接,但是不能打开网页,dns我记得已经改过8.8.8.8了啊

ipsec start时候提示三个错误,0 fatal

three parsing errors, o fatal

deprecated keyword 'nat_transversal' in config setup
deprecated keyword 'plutostart' in config setup
deprecated keyword 'pfs' in conn 'ios'
gissimo
2014-10-12 16:54:35 +08:00
@fuck010bj 换成你的就是fatal error,unable start了。我用的是https://wiki.strongswan.org/projects/strongswan/wiki/IOS_%28Apple%29的,

config setup
plutostart=yes
nat_traversal=yes

conn ios
keyexchange=ikev1
authby=xauthrsasig
xauth=server
left=%defaultroute
leftsubnet=0.0.0.0/0
leftfirewall=yes
leftcert=serverCert.pem
right=%any
rightsubnet=10.0.0.0/24
rightsourceip=10.0.0.2
rightcert=clientCert.pem
pfs=no
auto=add


deprecated keyword 'nat_transversal' in config setup
deprecated keyword 'plutostart' in config setup
deprecated keyword 'pfs' in conn 'ios'

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/138360

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX