Strongswan 的 ikev2, Windows 发起连接,服务器总是分配到黑莓那个 conn 配置。致使电脑直接死机

2014-12-07 00:24:02 +08:00
 thidnh
conn rem
keyexchange=ikev2
leftauth=psk
leftid=抹去
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any
auto=add

conn windows
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
left=%defaultroute
leftauth=pubkey
leftcert=serverCert.pem
leftsendcert=always
rightauth=eap-mschapv2
rightsourceip=172.0.0.0/24
rightsendcert=never
eap_identity=%any
auto=add


上面那个是给黑莓的,下面是Windows的。我查看日志,Windows发起连接后,服务器直接分配到黑莓那个conn。请问这应该怎么解决啊
@cattyhouse
@Luzifer
@aeshfawre
@mortal
@vision92
@764664
@jasontse
7816 次点击
所在节点    问与答
36 条回复
Luzifer
2014-12-07 23:00:09 +08:00
@thidnh 回 18 楼, 你的ipsec.conf配置里ios是使用 IKEv1 吧.

https://wiki.strongswan.org/projects/strongswan/wiki/AppleIKEv2Profile

看了眼WIKI,While iOS 8 and Mac OS X 10.10 now natively support IKEv2, the VPN application's GUI has not yet been updated to allow configuration of such connections on the devices themselves. 原生支持IKEv2.

可以实验下,IKEv2下锁屏会不会断.

/t/137653 @wzxjohn 他说“所谓的On Demand就是说在检测到网络变化后,如果你访问了特定的URL系统就会自动连接VPN,基本等同于Always On。”

他在111楼回复 “4. 锁屏不知道会不会断,但是断了会自动重连”

你可以问问 @wzxjohn iOS锁屏会不会断。

我看 @wzxjohn 实验了 eap-mschapv2 。
wiki里还有Certificate --- EAP-TLS --- Pre-shared key (PSK) 认证。

可以都试试。 我的设备是黑莓, 苹果是女王大人的, 没空闲时间给我测。😼
多设备还是路由翻省事。嚯嚯
thidnh
2014-12-07 23:03:35 +08:00
@Luzifer 黑莓做主力手机?很多不方便啊,软件没有。最近被last pass搞死,每次打开都要输密码
thidnh
2014-12-07 23:04:27 +08:00
@Luzifer 这个关键是我没Mac,没法写profile,win下写不了
Luzifer
2014-12-07 23:22:39 +08:00
咱是商务人士。😲 😲 😲
玩笑话.
我就电话(国内联系人),邮件(国外联系人).
对我来说, 就没有比黑莓更好的了. 晚上不回家不担心第二天没电, 这点秒杀其他.
Luzifer
2014-12-07 23:28:20 +08:00
@thidnh 那个配置文件不是记事本就可以写的么?
thidnh
2014-12-07 23:34:08 +08:00
@Luzifer 不太会写,写了两天都没成功。放弃了
Luzifer
2014-12-07 23:50:00 +08:00
@thidnh 你不会我更不会了. 密密麻麻的.


晚安了。
wzxjohn
2014-12-08 00:26:14 +08:00
@thidnh profile就是个xml,你下了我的直接改了服务器地址用户名密码就可以了。
@Luzifer 我的手机锁屏时候有时候Wifi都断,所以我也不确定到底锁屏会不会断。。。
thidnh
2014-12-08 11:38:45 +08:00
@wzxjohn 请教你ios上用的ikev2是下面哪个配置啊

conn IPSec-IKEv2
keyexchange=ikev2
leftid=@you.domain.in.cert
#your servr name in cert "server.pem"
rightid=*@every.string.you.want
#define a suffix for user account
auto=add

conn IPSec-IKEv2-EAP
also="IPSec-IKEv2"
rightauth=eap-mschapv2
#define auth type to EAP
rightsendcert=never
#do not need client cert
eap_identity=%any
#any user can login successfully
thidnh
2014-12-08 11:41:57 +08:00
@wzxjohn 瞄了眼看到了user1@every.string.you.want,似乎是conn IPSec-IKEv2这个吧?再请问rightid=*@every.string.you.want里面的*是随意字符还是就保留*
fuck010bj
2014-12-08 12:45:02 +08:00
leftid 和esp没设置
wzxjohn
2014-12-08 13:04:46 +08:00
@thidnh 两个都可以,一个是证书认证一个是EAP认证,只是认证方法不一样。
@thidnh *是任意字符的意思,配置文件原生支持通配符。
thidnh
2014-12-08 13:26:46 +08:00
@wzxjohn 报错

12[CFG] looking for peer configs matching 抹去IP[抹去域名]...抹去IP[抹去第一个用户名@IPSec]
12[CFG] no matching peer config found
thidnh
2014-12-08 13:29:02 +08:00
@wzxjohn 总结下,我服务器ipsec.conf和你改成一模一样,ios配置文件下载你的,改了用户名 密码 两个域名。

1.请问你的配置文件走的是哪个conn?
2.报错,麻烦看下原因。多谢

12[CFG] looking for peer configs matching 抹去IP[抹去域名]...抹去IP[抹去第一个用户名@IPSec]
12[CFG] no matching peer config found
thidnh
2014-12-08 13:34:19 +08:00
@wzxjohn 附上我的配置文件。@域名中确定要保留@是吧? 我 rightid=*@IPSec可以?

conn IPSec-IKEv2
keyexchange=ikev2
leftid=@域名
rightid=*@IPSec
auto=add

conn IPSec-IKEv2-EAP
also="IPSec-IKEv2"
rightauth=eap-mschapv2
#define auth type to EAP
rightsendcert=never
#do not need client cert
eap_identity=%any
#any user can login successfully
Remember
2015-07-12 01:22:10 +08:00
@wzxjohn
@thidnh

所以rightid 应该怎么设置?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/152071

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX