Digital Ocean 搭建 Strongswan 的 ipsec 讨论

第一条网址怎么没发出来。补充在这里：

https://gist.github.com/losisli/11081793

https://gist.git 去掉空格 hub.com/losisli/11081793

http://blog.yxjxx.com/2014/08/06/setting-IKEV2-VPN-for-windows-phone.html 这也是windows phone的教程，不知道iOS上是不是一样的？

之前搭建过，成功了一次，后来重装系统，再弄的时候，就出现问题了，总的来说是因为OpenSwan的版本兼容性问题。

openswan也好strongswan也好我就手动设置成功过一次…我太笨…

后来懒了

用脚本

https://github.com/jlund/streisand

默认debian环境吧…我单独利用里面l2tp来自动配置…

DO还算老实，我的那个 VPS 的 OS 都是他们自己编辑的，把 ipsec 的 kernel 支持全部去掉了。。。

@hanqi7012 这个好像没有cisco ipsec吧？

Strongswan有时抽风，建议racoon。。。。

ios 要安装两个证书才能使用cisco ipsec

可以看看我的v2ex帖子。iOS现在ikev2有bug。

@fuck010bj 你成功了吗？我生成了2个证书，都导入到手机安装了，还是 服务器无响应啊

@gissimo p12那个证书好像要设置密码才行

@gissimo 把你的针对ios ciscoipsec的ipsec.conf设置部分贴出来看看，上面没有

@fuck010bj 对的，生成的时候输入密码，导入ios的时候密码验证

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
strictcrlpolicy=no
uniqueids =yes
conn ios
keyexchange=ikev2
authby=xauthrsasig
xauth=server
left=%defaultroute
leftsubnet=0.0.0.0/0
leftfirewall=yes
leftcert=serverCert.pem
right=%any
rightsubnet=10.0.0.0/24
rightsourceip=10.0.0.2
rightcert=clientCert.pem
pfs=no
auto=add
# Add connections here.

# Sample VPN connections

#conn sample-self-signed
# leftsubnet=10.1.0.0/16
# leftcert=selfCert.der
# leftsendcert=never
# right=192.168.0.2
# rightsubnet=10.2.0.0/16
# rightcert=peerCert.der
# auto=start

#conn sample-with-ca-cert
# leftsubnet=10.1.0.0/16
# leftcert=myCert.pem
# right=192.168.0.2
# rightsubnet=10.2.0.0/16
# rightid="C=CH, O=Linux strongSwan CN=peer name"
# auto=start

@gissimo cisco ipsec 只能用ikev1吧 rightauth也没设置

@gissimo
conn iOS-IKEv1
keyexchange=ikev1
fragmentation=yes
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=Server.Cert.pem
right=%any
rightauth=pubkey
rightauth2=xauth
rightsourceip=10.2.0.0/16
rightcert=Client.Cert.pem
auto=add

@fuck010bj 我看到那篇文章里用到了ikev2啊

@gissimo cisco ipsec啊，ikev2的话 iphone要装配置文件

@fuck010bj 很感谢，改了后ios能连接，但是不能打开网页，dns我记得已经改过8.8.8.8了啊

ipsec start时候提示三个错误，0 fatal

three parsing errors, o fatal

deprecated keyword 'nat_transversal' in config setup
deprecated keyword 'plutostart' in config setup
deprecated keyword 'pfs' in conn 'ios'

@fuck010bj 换成你的就是fatal error，unable start了。我用的是https://wiki.strongswan.org/projects/strongswan/wiki/IOS_%28Apple%29的，

config setup
plutostart=yes
nat_traversal=yes

conn ios
keyexchange=ikev1
authby=xauthrsasig
xauth=server
left=%defaultroute
leftsubnet=0.0.0.0/0
leftfirewall=yes
leftcert=serverCert.pem
right=%any
rightsubnet=10.0.0.0/24
rightsourceip=10.0.0.2
rightcert=clientCert.pem
pfs=no
auto=add


deprecated keyword 'nat_transversal' in config setup
deprecated keyword 'plutostart' in config setup
deprecated keyword 'pfs' in conn 'ios'