Strongswan 的 ikev2, Windows 发起连接,服务器总是分配到黑莓那个 conn 配置。致使电脑直接死机

2014-12-07 00:24:02 +08:00
 thidnh
conn rem
keyexchange=ikev2
leftauth=psk
leftid=抹去
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any
auto=add

conn windows
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
left=%defaultroute
leftauth=pubkey
leftcert=serverCert.pem
leftsendcert=always
rightauth=eap-mschapv2
rightsourceip=172.0.0.0/24
rightsendcert=never
eap_identity=%any
auto=add


上面那个是给黑莓的,下面是Windows的。我查看日志,Windows发起连接后,服务器直接分配到黑莓那个conn。请问这应该怎么解决啊
@cattyhouse
@Luzifer
@aeshfawre
@mortal
@vision92
@764664
@jasontse
7817 次点击
所在节点    问与答
36 条回复
rex1901
2014-12-07 11:53:57 +08:00
我记得ikev2 left强制要求pubkey
黑莓那个应该是ikev1吧,我不用黑莓,猜的。
thidnh
2014-12-07 12:26:44 +08:00
@rex1901 我现在状态是黑莓正常连接。 Windows下报错,查日志,系统分配到了黑莓那个conn
Luzifer
2014-12-07 16:50:26 +08:00
我不会比你更了解StrongSwan. 我也入过这个坑.

如果你是被我带沟里的话,这里说明下:
黑莓客户端没法导入自制证书(但是可以使用受信任证书, COMODO等)
所以我直接用psk+eap-mschapv2.
我脚本里自制证书都省了,ios+android+window都是使用ikev1,‘authby=’是过时的,还没改leftauth
够简单够粗暴!

####以下是瞎掰

——————原因, 我不知道, 无责任瞎掰:
你给出的两个conn,客户端认证rightauth完全一样,
StrongSwan不知道怎么选服务器认证方式leftauth,
你黑莓conn直接指定了leftid,所以就分配到黑莓去了.
如果在namecheap买个ssl证书(COMODO)安装到服务器上,
估计黑莓就可以使用 证书+eap-mschapv2 验证了(没测试),就和你的 conn windows 使用一个配置了.

——————解决办法, 我知道, 无责任乱扯:
一, 买ssl证书, 黑莓使用<证书+eap-mschapv2> 参见 Astrill 的 IKEv2
或者
<证书+eap-tls>,黑莓客户端eap-tls就可以用上受信任证书, WP8.1也可以用这个方式
(WP8.1 和 黑莓 比, 它是可以导入证书的).

####以上是瞎掰

二,windows 7 直接使用Ikev1 :Shrew on Windows
三,windows 7 直接使用证书(自制的) :Windows 7 cert mode
二和三,我都实验通过了。参见
https://zh.opensuse.org/index.php?title=SDB:Setup_Ipsec_VPN_with_Strongswan&variant=zh

V2的排版挺瞎的,将就看吧. 好不容易遇到一个莓友在折腾这个.
里的配置.
Luzifer
2014-12-07 17:43:41 +08:00
上面瞎掰有误》

黑莓是可以导入证书的.
安全和隐私 > 证书 > 导入

用户可以在 BlackBerry 设备上使用证书进行 EAP 身份验证。
Luzifer
2014-12-07 17:49:27 +08:00
上面扯那么多,错误的知识错误的结果.

二,windows 7 直接使用Ikev1 :Shrew on Windows
三,windows 7 直接使用证书(自制的) :Windows 7 cert mode

就这吧,我再研究研究
Luzifer
2014-12-07 18:37:58 +08:00
姿势可以更新了,黑莓可以导入证书, 去掉黑莓那个conn, 黑莓和你的 conn windows 使用一个配置
thidnh
2014-12-07 18:47:43 +08:00
@Luzifer 太感谢。想请教下3)中的Windows 7 cert模式是具体指什么模式?Windows 下可以用自带的ikev2吗?
thidnh
2014-12-07 18:48:29 +08:00
@Luzifer 啥?可以导入自制证书了?
Luzifer
2014-12-07 18:58:48 +08:00
@thidnh 嗯, 导入的应该是自制的 caCert.pem,
我看的是
http://www.wpapps.com.cn/skill/1150.html
WP8.1预览版VPN设置图文教程, 它使用的就是你的 conn windows

在黑莓上看了下, 网关身份验证类型 PKI
然后 网关CA证书* 里选导入的 caCert.pem
应该就是这样了.
Luzifer
2014-12-07 19:05:26 +08:00
@thidnh 7楼, https://zh.opensuse.org/index.php?title=SDB:Setup_Ipsec_VPN_with_Strongswan&variant=zh

想请教下3)中的Windows 7 cert模式是具体指什么模式?
```
# and Windows 7 cert mode.
conn networkmanager-strongswan
keyexchange=ikev2
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=pubkey
rightsourceip=10.0.0.0/24
rightcert=client.cert.pem
auto=add
```
这一段.

Windows 下可以用自带的ikev2吗?

看 ‘其它客户端配置’ 里的 ‘Windows 7+’ 那段. 使用自带客户端(Agile)里有写
client.cert.p12
thidnh
2014-12-07 19:07:14 +08:00
@Luzifer 求加霉友bbm
thidnh
2014-12-07 19:11:43 +08:00
@Luzifer pki轻松搞定。太感谢
Luzifer
2014-12-07 19:14:04 +08:00
@thidnh PKI搞定了? 9楼方法?
thidnh
2014-12-07 19:18:52 +08:00
@Luzifer 对,pki
Luzifer
2014-12-07 19:25:53 +08:00
我一直以为黑莓不能导入自制证书,这个错误前提下我就一直没考虑过以证书认证.
哈哈, 多谢, 知识更新了. 去修改配置去了.
握手握手, BBM上没人啊,没怎么用. 就不贴了.
thidnh
2014-12-07 20:52:07 +08:00
@Luzifer opensuse那篇是你写的?
Luzifer
2014-12-07 21:02:52 +08:00
@thidnh 肯定不是啊。没那能耐。
thidnh
2014-12-07 21:17:45 +08:00
@Luzifer iOS你能实现锁屏永远不断么?黑莓给我的最大惊喜就是完全不断线啊!!只要连上网络就能自动连接
Luzifer
2014-12-07 22:06:21 +08:00
@thidnh 😱 我不会啊. 这不是StrongSwan的问题吧.
看别人说过Cisco Anyconnect. 不了解. 你可以查了看看.
以后看到了再回你吧.
thidnh
2014-12-07 22:17:26 +08:00
@Luzifer anyconnect我也深入研究了,一起搭建了。确实不断。但速度慢。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/152071

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX