Strongswan 的 ikev2, Windows 发起连接,服务器总是分配到黑莓那个 conn 配置。致使电脑直接死机
thidnh · 2014-12-07 00:24:02 +08:00 · 7652 次点击这是一个创建于 3428 天前的主题,其中的信息可能已经有所发展或是发生改变。
conn rem
keyexchange=ikev2
leftauth=psk
leftid=抹去
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any
auto=add
conn windows
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
left=%defaultroute
leftauth=pubkey
leftcert=serverCert.pem
leftsendcert=always
rightauth=eap-mschapv2
rightsourceip=172.0.0.0/24
rightsendcert=never
eap_identity=%any
auto=add
上面那个是给黑莓的,下面是Windows的。我查看日志,Windows发起连接后,服务器直接分配到黑莓那个conn。请问这应该怎么解决啊
@cattyhouse
@Luzifer
@aeshfawre
@mortal
@vision92
@764664
@jasontse
keyexchange=ikev2
leftauth=psk
leftid=抹去
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any
auto=add
conn windows
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
left=%defaultroute
leftauth=pubkey
leftcert=serverCert.pem
leftsendcert=always
rightauth=eap-mschapv2
rightsourceip=172.0.0.0/24
rightsendcert=never
eap_identity=%any
auto=add
上面那个是给黑莓的,下面是Windows的。我查看日志,Windows发起连接后,服务器直接分配到黑莓那个conn。请问这应该怎么解决啊
@cattyhouse
@Luzifer
@aeshfawre
@mortal
@vision92
@764664
@jasontse
 |
1
rex1901 2014-12-07 11:53:57 +08:00
我记得ikev2 left强制要求pubkey
黑莓那个应该是ikev1吧,我不用黑莓,猜的。 |
 |
3
Luzifer 2014-12-07 16:50:26 +08:00
我不会比你更了解StrongSwan. 我也入过这个坑.
如果你是被我带沟里的话,这里说明下: 黑莓客户端没法导入自制证书(但是可以使用受信任证书, COMODO等) 所以我直接用psk+eap-mschapv2. 我脚本里自制证书都省了,ios+android+window都是使用ikev1,‘authby=’是过时的,还没改leftauth 够简单够粗暴! ####以下是瞎掰 ——————原因, 我不知道, 无责任瞎掰: 你给出的两个conn,客户端认证rightauth完全一样, StrongSwan不知道怎么选服务器认证方式leftauth, 你黑莓conn直接指定了leftid,所以就分配到黑莓去了. 如果在namecheap买个ssl证书(COMODO)安装到服务器上, 估计黑莓就可以使用 证书+eap-mschapv2 验证了(没测试),就和你的 conn windows 使用一个配置了. ——————解决办法, 我知道, 无责任乱扯: 一, 买ssl证书, 黑莓使用<证书+eap-mschapv2> 参见 Astrill 的 IKEv2 或者 <证书+eap-tls>,黑莓客户端eap-tls就可以用上受信任证书, WP8.1也可以用这个方式 (WP8.1 和 黑莓 比, 它是可以导入证书的). ####以上是瞎掰 二,windows 7 直接使用Ikev1 :Shrew on Windows 三,windows 7 直接使用证书(自制的) :Windows 7 cert mode 二和三,我都实验通过了。参见 https://zh.opensuse.org/index.php?title=SDB:Setup_Ipsec_VPN_with_Strongswan&variant=zh V2的排版挺瞎的,将就看吧. 好不容易遇到一个莓友在折腾这个. 里的配置. |
|
4
Luzifer 2014-12-07 17:43:41 +08:00
上面瞎掰有误》
黑莓是可以导入证书的. 安全和隐私 > 证书 > 导入 用户可以在 BlackBerry 设备上使用证书进行 EAP 身份验证。 |
|
5
Luzifer 2014-12-07 17:49:27 +08:00
上面扯那么多,错误的知识错误的结果.
二,windows 7 直接使用Ikev1 :Shrew on Windows 三,windows 7 直接使用证书(自制的) :Windows 7 cert mode 就这吧,我再研究研究 |
|
6
Luzifer 2014-12-07 18:37:58 +08:00
姿势可以更新了,黑莓可以导入证书, 去掉黑莓那个conn, 黑莓和你的 conn windows 使用一个配置
|
 |
7
thidnh OP @Luzifer 太感谢。想请教下3)中的Windows 7 cert模式是具体指什么模式?Windows 下可以用自带的ikev2吗?
|
|
9
Luzifer 2014-12-07 18:58:48 +08:00
@thidnh 嗯, 导入的应该是自制的 caCert.pem,
我看的是 http://www.wpapps.com.cn/skill/1150.html WP8.1预览版VPN设置图文教程, 它使用的就是你的 conn windows 在黑莓上看了下, 网关身份验证类型 PKI 然后 网关CA证书* 里选导入的 caCert.pem 应该就是这样了. |
|
10
Luzifer 2014-12-07 19:05:26 +08:00  1
@thidnh 7楼, https://zh.opensuse.org/index.php?title=SDB:Setup_Ipsec_VPN_with_Strongswan&variant=zh
想请教下3)中的Windows 7 cert模式是具体指什么模式? ``` # and Windows 7 cert mode. conn networkmanager-strongswan keyexchange=ikev2 left=%defaultroute leftauth=pubkey leftsubnet=0.0.0.0/0 leftcert=server.cert.pem right=%any rightauth=pubkey rightsourceip=10.0.0.0/24 rightcert=client.cert.pem auto=add ``` 这一段. Windows 下可以用自带的ikev2吗? 看 ‘其它客户端配置’ 里的 ‘Windows 7+’ 那段. 使用自带客户端(Agile)里有写 client.cert.p12 |
|
15
Luzifer 2014-12-07 19:25:53 +08:00
我一直以为黑莓不能导入自制证书,这个错误前提下我就一直没考虑过以证书认证.
哈哈, 多谢, 知识更新了. 去修改配置去了. 握手握手, BBM上没人啊,没怎么用. 就不贴了. |
|
18
thidnh OP @Luzifer iOS你能实现锁屏永远不断么?黑莓给我的最大惊喜就是完全不断线啊!!只要连上网络就能自动连接
|
|
19
Luzifer 2014-12-07 22:06:21 +08:00
|
|
21
Luzifer 2014-12-07 23:00:09 +08:00
@thidnh 回 18 楼, 你的ipsec.conf配置里ios是使用 IKEv1 吧.
https://wiki.strongswan.org/projects/strongswan/wiki/AppleIKEv2Profile 看了眼WIKI,While iOS 8 and Mac OS X 10.10 now natively support IKEv2, the VPN application's GUI has not yet been updated to allow configuration of such connections on the devices themselves. 原生支持IKEv2. 可以实验下,IKEv2下锁屏会不会断. /t/137653 @wzxjohn 他说“所谓的On Demand就是说在检测到网络变化后,如果你访问了特定的URL系统就会自动连接VPN,基本等同于Always On。” 他在111楼回复 “4. 锁屏不知道会不会断,但是断了会自动重连” 你可以问问 @wzxjohn iOS锁屏会不会断。 我看 @wzxjohn 实验了 eap-mschapv2 。 wiki里还有Certificate --- EAP-TLS --- Pre-shared key (PSK) 认证。 可以都试试。 我的设备是黑莓, 苹果是女王大人的, 没空闲时间给我测。😼 多设备还是路由翻省事。嚯嚯 |
|
22
thidnh OP @Luzifer 黑莓做主力手机?很多不方便啊,软件没有。最近被last pass搞死,每次打开都要输密码
|
|
24
Luzifer 2014-12-07 23:22:39 +08:00
咱是商务人士。😲 😲 😲
玩笑话. 我就电话(国内联系人),邮件(国外联系人). 对我来说, 就没有比黑莓更好的了. 晚上不回家不担心第二天没电, 这点秒杀其他. |
 |
28
wzxjohn 2014-12-08 00:26:14 +08:00 via iPhone 1
|
|
29
thidnh OP @wzxjohn 请教你ios上用的ikev2是下面哪个配置啊
conn IPSec-IKEv2 keyexchange=ikev2 [email protected] #your servr name in cert "server.pem" rightid=*@every.string.you.want #define a suffix for user account auto=add conn IPSec-IKEv2-EAP also="IPSec-IKEv2" rightauth=eap-mschapv2 #define auth type to EAP rightsendcert=never #do not need client cert eap_identity=%any #any user can login successfully |
|
30
thidnh OP @wzxjohn 瞄了眼看到了[email protected],似乎是conn IPSec-IKEv2这个吧?再请问rightid=*@every.string.you.want里面的*是随意字符还是就保留*
|
 |
31
fuck010bj 2014-12-08 12:45:02 +08:00
leftid 和esp没设置
|
|
32
wzxjohn 2014-12-08 13:04:46 +08:00 via iPhone
|
|
33
thidnh OP |
|
34
thidnh OP |
|
35
thidnh OP @wzxjohn 附上我的配置文件。@域名中确定要保留@是吧? 我 rightid=*@IPSec可以?
conn IPSec-IKEv2 keyexchange=ikev2 leftid=@域名 rightid=*@IPSec auto=add conn IPSec-IKEv2-EAP also="IPSec-IKEv2" rightauth=eap-mschapv2 #define auth type to EAP rightsendcert=never #do not need client cert eap_identity=%any #any user can login successfully |
Select Language