Strongswan 的 ikev2， Windows 发起连接，服务器总是分配到黑莓那个 conn 配置。致使电脑直接死机

conn rem
keyexchange=ikev2
leftauth=psk
leftid=抹去
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any
auto=add

conn windows
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
left=%defaultroute
leftauth=pubkey
leftcert=serverCert.pem
leftsendcert=always
rightauth=eap-mschapv2
rightsourceip=172.0.0.0/24
rightsendcert=never
eap_identity=%any
auto=add

上面那个是给黑莓的，下面是Windows的。我查看日志，Windows发起连接后，服务器直接分配到黑莓那个conn。请问这应该怎么解决啊
@cattyhouse
@Luzifer
@aeshfawre
@mortal
@vision92
@764664
@jasontse

rex1901

2014-12-07 11:53:57 +08:00

我记得ikev2 left强制要求pubkey
黑莓那个应该是ikev1吧，我不用黑莓，猜的。

thidnh

2014-12-07 12:26:44 +08:00

@rex1901 我现在状态是黑莓正常连接。 Windows下报错，查日志，系统分配到了黑莓那个conn

Luzifer

2014-12-07 16:50:26 +08:00

我不会比你更了解StrongSwan. 我也入过这个坑.

如果你是被我带沟里的话，这里说明下：
黑莓客户端没法导入自制证书（但是可以使用受信任证书, COMODO等）
所以我直接用psk+eap-mschapv2.
我脚本里自制证书都省了，ios+android+window都是使用ikev1，‘authby=’是过时的，还没改leftauth
够简单够粗暴！

####以下是瞎掰

——————原因，我不知道，无责任瞎掰：
你给出的两个conn，客户端认证rightauth完全一样，
StrongSwan不知道怎么选服务器认证方式leftauth，
你黑莓conn直接指定了leftid，所以就分配到黑莓去了.
如果在namecheap买个ssl证书（COMODO）安装到服务器上,
估计黑莓就可以使用证书+eap-mschapv2 验证了(没测试)，就和你的 conn windows 使用一个配置了.

——————解决办法，我知道，无责任乱扯：
一，买ssl证书，黑莓使用<证书+eap-mschapv2> 参见 Astrill 的 IKEv2
或者
<证书+eap-tls>，黑莓客户端eap-tls就可以用上受信任证书， WP8.1也可以用这个方式
（WP8.1 和黑莓比，它是可以导入证书的）.

####以上是瞎掰

二，windows 7 直接使用Ikev1 ：Shrew on Windows
三，windows 7 直接使用证书（自制的）：Windows 7 cert mode
二和三，我都实验通过了。参见
https://zh.opensuse.org/index.php?title=SDB:Setup_Ipsec_VPN_with_Strongswan&variant=zh

V2的排版挺瞎的，将就看吧. 好不容易遇到一个莓友在折腾这个.
里的配置.

Luzifer

2014-12-07 17:43:41 +08:00

上面瞎掰有误》

黑莓是可以导入证书的.
安全和隐私 > 证书 > 导入

用户可以在 BlackBerry 设备上使用证书进行 EAP 身份验证。

Luzifer

2014-12-07 17:49:27 +08:00

上面扯那么多，错误的知识错误的结果.

二，windows 7 直接使用Ikev1 ：Shrew on Windows
三，windows 7 直接使用证书（自制的）：Windows 7 cert mode

就这吧，我再研究研究

Luzifer

2014-12-07 18:37:58 +08:00

姿势可以更新了，黑莓可以导入证书，去掉黑莓那个conn, 黑莓和你的 conn windows 使用一个配置

thidnh

2014-12-07 18:47:43 +08:00

@Luzifer 太感谢。想请教下3）中的Windows 7 cert模式是具体指什么模式？Windows 下可以用自带的ikev2吗？

thidnh

2014-12-07 18:48:29 +08:00

@Luzifer 啥？可以导入自制证书了？

Luzifer

2014-12-07 18:58:48 +08:00

@thidnh 嗯，导入的应该是自制的 caCert.pem，
我看的是
http://www.wpapps.com.cn/skill/1150.html
WP8.1预览版VPN设置图文教程，它使用的就是你的 conn windows

在黑莓上看了下，网关身份验证类型 PKI
然后网关CA证书* 里选导入的 caCert.pem
应该就是这样了.

Luzifer

2014-12-07 19:05:26 +08:00

@thidnh 7楼， https://zh.opensuse.org/index.php?title=SDB:Setup_Ipsec_VPN_with_Strongswan&variant=zh

想请教下3）中的Windows 7 cert模式是具体指什么模式？
```
# and Windows 7 cert mode.
conn networkmanager-strongswan
keyexchange=ikev2
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=pubkey
rightsourceip=10.0.0.0/24
rightcert=client.cert.pem
auto=add
```
这一段.

Windows 下可以用自带的ikev2吗？

看 ‘其它客户端配置’ 里的 ‘Windows 7+’ 那段. 使用自带客户端（Agile）里有写
client.cert.p12

thidnh

2014-12-07 19:07:14 +08:00

@Luzifer 求加霉友bbm

thidnh

2014-12-07 19:11:43 +08:00

@Luzifer pki轻松搞定。太感谢

Luzifer

2014-12-07 19:14:04 +08:00

@thidnh PKI搞定了？ 9楼方法？

thidnh

2014-12-07 19:18:52 +08:00

@Luzifer 对，pki

Luzifer

2014-12-07 19:25:53 +08:00

我一直以为黑莓不能导入自制证书，这个错误前提下我就一直没考虑过以证书认证.
哈哈，多谢，知识更新了. 去修改配置去了.
握手握手， BBM上没人啊，没怎么用. 就不贴了.

thidnh

2014-12-07 20:52:07 +08:00

@Luzifer opensuse那篇是你写的？

Luzifer

2014-12-07 21:02:52 +08:00

@thidnh 肯定不是啊。没那能耐。

thidnh

2014-12-07 21:17:45 +08:00

@Luzifer iOS你能实现锁屏永远不断么？黑莓给我的最大惊喜就是完全不断线啊！！只要连上网络就能自动连接

Luzifer

2014-12-07 22:06:21 +08:00

@thidnh 😱 我不会啊. 这不是StrongSwan的问题吧.
看别人说过Cisco Anyconnect. 不了解. 你可以查了看看.
以后看到了再回你吧.

thidnh

2014-12-07 22:17:26 +08:00

@Luzifer anyconnect我也深入研究了，一起搭建了。确实不断。但速度慢。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/152071

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.