Strongswan 的 ikev2， Windows 发起连接，服务器总是分配到黑莓那个 conn 配置。致使电脑直接死机

conn rem
keyexchange=ikev2
leftauth=psk
leftid=抹去
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any
auto=add

conn windows
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
left=%defaultroute
leftauth=pubkey
leftcert=serverCert.pem
leftsendcert=always
rightauth=eap-mschapv2
rightsourceip=172.0.0.0/24
rightsendcert=never
eap_identity=%any
auto=add

上面那个是给黑莓的，下面是Windows的。我查看日志，Windows发起连接后，服务器直接分配到黑莓那个conn。请问这应该怎么解决啊
@cattyhouse
@Luzifer
@aeshfawre
@mortal
@vision92
@764664
@jasontse

Luzifer

2014-12-07 23:00:09 +08:00

@thidnh 回 18 楼，你的ipsec.conf配置里ios是使用 IKEv1 吧.

https://wiki.strongswan.org/projects/strongswan/wiki/AppleIKEv2Profile

看了眼WIKI，While iOS 8 and Mac OS X 10.10 now natively support IKEv2, the VPN application's GUI has not yet been updated to allow configuration of such connections on the devices themselves. 原生支持IKEv2.

可以实验下，IKEv2下锁屏会不会断.

/t/137653 @wzxjohn 他说“所谓的On Demand就是说在检测到网络变化后，如果你访问了特定的URL系统就会自动连接VPN，基本等同于Always On。”

他在111楼回复 “4. 锁屏不知道会不会断，但是断了会自动重连”

你可以问问 @wzxjohn iOS锁屏会不会断。

我看 @wzxjohn 实验了 eap-mschapv2 。
wiki里还有Certificate --- EAP-TLS --- Pre-shared key (PSK) 认证。

可以都试试。我的设备是黑莓，苹果是女王大人的，没空闲时间给我测。😼
多设备还是路由翻省事。嚯嚯

thidnh

2014-12-07 23:03:35 +08:00

@Luzifer 黑莓做主力手机？很多不方便啊，软件没有。最近被last pass搞死，每次打开都要输密码

thidnh

2014-12-07 23:04:27 +08:00

@Luzifer 这个关键是我没Mac，没法写profile，win下写不了

Luzifer

2014-12-07 23:22:39 +08:00

咱是商务人士。😲 😲 😲
玩笑话.
我就电话（国内联系人），邮件（国外联系人）.
对我来说, 就没有比黑莓更好的了. 晚上不回家不担心第二天没电, 这点秒杀其他.

Luzifer

2014-12-07 23:28:20 +08:00

@thidnh 那个配置文件不是记事本就可以写的么？

thidnh

2014-12-07 23:34:08 +08:00

@Luzifer 不太会写，写了两天都没成功。放弃了

Luzifer

2014-12-07 23:50:00 +08:00

@thidnh 你不会我更不会了. 密密麻麻的.

晚安了。

wzxjohn

2014-12-08 00:26:14 +08:00

@thidnh profile就是个xml，你下了我的直接改了服务器地址用户名密码就可以了。
@Luzifer 我的手机锁屏时候有时候Wifi都断，所以我也不确定到底锁屏会不会断。。。

thidnh

2014-12-08 11:38:45 +08:00

@wzxjohn 请教你ios上用的ikev2是下面哪个配置啊

conn IPSec-IKEv2
keyexchange=ikev2
leftid=@you.domain.in.cert
#your servr name in cert "server.pem"
rightid=*@every.string.you.want
#define a suffix for user account
auto=add

conn IPSec-IKEv2-EAP
also="IPSec-IKEv2"
rightauth=eap-mschapv2
#define auth type to EAP
rightsendcert=never
#do not need client cert
eap_identity=%any
#any user can login successfully

thidnh

2014-12-08 11:41:57 +08:00

@wzxjohn 瞄了眼看到了user1@every.string.you.want，似乎是conn IPSec-IKEv2这个吧？再请问rightid=*@every.string.you.want里面的*是随意字符还是就保留*

fuck010bj

2014-12-08 12:45:02 +08:00

leftid 和esp没设置

wzxjohn

2014-12-08 13:04:46 +08:00

@thidnh 两个都可以，一个是证书认证一个是EAP认证，只是认证方法不一样。
@thidnh *是任意字符的意思，配置文件原生支持通配符。

thidnh

2014-12-08 13:26:46 +08:00

@wzxjohn 报错

12[CFG] looking for peer configs matching 抹去IP[抹去域名]...抹去IP[抹去第一个用户名@IPSec]
12[CFG] no matching peer config found

thidnh

2014-12-08 13:29:02 +08:00

@wzxjohn 总结下，我服务器ipsec.conf和你改成一模一样，ios配置文件下载你的，改了用户名密码两个域名。

1.请问你的配置文件走的是哪个conn？
2.报错，麻烦看下原因。多谢

12[CFG] looking for peer configs matching 抹去IP[抹去域名]...抹去IP[抹去第一个用户名@IPSec]
12[CFG] no matching peer config found

thidnh

2014-12-08 13:34:19 +08:00

@wzxjohn 附上我的配置文件。@域名中确定要保留@是吧？我 rightid=*@IPSec可以？

conn IPSec-IKEv2
keyexchange=ikev2
leftid=@域名
rightid=*@IPSec
auto=add

conn IPSec-IKEv2-EAP
also="IPSec-IKEv2"
rightauth=eap-mschapv2
#define auth type to EAP
rightsendcert=never
#do not need client cert
eap_identity=%any
#any user can login successfully

Remember

2015-07-12 01:22:10 +08:00

@wzxjohn
@thidnh

所以rightid 应该怎么设置？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/152071

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.