1
gissimo OP |
2
gissimo OP https://gist.git 去掉空格 hub.com/losisli/11081793
|
3
yxjxx 2014-10-11 20:28:00 +08:00
http://blog.yxjxx.com/2014/08/06/setting-IKEV2-VPN-for-windows-phone.html 这也是windows phone的教程,不知道iOS上是不是一样的?
|
4
0zero0 2014-10-11 21:06:25 +08:00
之前搭建过,成功了一次,后来重装系统,再弄的时候,就出现问题了,总的来说是因为OpenSwan的版本兼容性问题。
|
5
hanqi7012 2014-10-11 21:45:55 +08:00 via iPhone 1
openswan也好strongswan也好我就手动设置成功过一次…我太笨…
后来懒了 用脚本 https://github.com/jlund/streisand 默认debian环境吧…我单独利用里面l2tp来自动配置… |
6
caonan 2014-10-11 22:26:50 +08:00
DO还算老实,我的那个 VPS 的 OS 都是他们自己编辑的,把 ipsec 的 kernel 支持全部去掉了。。。
|
8
superwbd 2014-10-11 22:33:31 +08:00
Strongswan有时抽风,建议racoon。。。。
|
9
fuck010bj 2014-10-12 09:26:32 +08:00
ios 要安装两个证书才能使用cisco ipsec
|
10
cattyhouse 2014-10-12 09:40:57 +08:00 via iPhone
可以看看我的v2ex帖子。iOS现在ikev2有bug。
|
14
gissimo OP @fuck010bj 对的,生成的时候输入密码,导入ios的时候密码验证
# ipsec.conf - strongSwan IPsec configuration file # basic configuration config setup strictcrlpolicy=no uniqueids =yes conn ios keyexchange=ikev2 authby=xauthrsasig xauth=server left=%defaultroute leftsubnet=0.0.0.0/0 leftfirewall=yes leftcert=serverCert.pem right=%any rightsubnet=10.0.0.0/24 rightsourceip=10.0.0.2 rightcert=clientCert.pem pfs=no auto=add # Add connections here. # Sample VPN connections #conn sample-self-signed # leftsubnet=10.1.0.0/16 # leftcert=selfCert.der # leftsendcert=never # right=192.168.0.2 # rightsubnet=10.2.0.0/16 # rightcert=peerCert.der # auto=start #conn sample-with-ca-cert # leftsubnet=10.1.0.0/16 # leftcert=myCert.pem # right=192.168.0.2 # rightsubnet=10.2.0.0/16 # rightid="C=CH, O=Linux strongSwan CN=peer name" # auto=start |
16
fuck010bj 2014-10-12 16:01:31 +08:00
@gissimo
conn iOS-IKEv1 keyexchange=ikev1 fragmentation=yes left=%defaultroute leftauth=pubkey leftsubnet=0.0.0.0/0 leftcert=Server.Cert.pem right=%any rightauth=pubkey rightauth2=xauth rightsourceip=10.2.0.0/16 rightcert=Client.Cert.pem auto=add |
19
gissimo OP @fuck010bj 很感谢,改了后ios能连接,但是不能打开网页,dns我记得已经改过8.8.8.8了啊
ipsec start时候提示三个错误,0 fatal three parsing errors, o fatal deprecated keyword 'nat_transversal' in config setup deprecated keyword 'plutostart' in config setup deprecated keyword 'pfs' in conn 'ios' |
20
gissimo OP @fuck010bj 换成你的就是fatal error,unable start了。我用的是https://wiki.strongswan.org/projects/strongswan/wiki/IOS_%28Apple%29的,
config setup plutostart=yes nat_traversal=yes conn ios keyexchange=ikev1 authby=xauthrsasig xauth=server left=%defaultroute leftsubnet=0.0.0.0/0 leftfirewall=yes leftcert=serverCert.pem right=%any rightsubnet=10.0.0.0/24 rightsourceip=10.0.0.2 rightcert=clientCert.pem pfs=no auto=add deprecated keyword 'nat_transversal' in config setup deprecated keyword 'plutostart' in config setup deprecated keyword 'pfs' in conn 'ios' |
22
gissimo OP @fuck010bj 好像用你那段就是服务器无响应或者negotiation error。我这段可以连上但是不能上网,为什么啊
|
23
gissimo OP @fuck010bj 所以我要重新运行下下面的?
iptables -A INPUT -p udp --dport 500 -j ACCEPT iptables -A INPUT -p udp --dport 4500 -j ACCEPT echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 10.11.1.0/24 -o eth0 -j MASQUERADE #地址与上面地址池对应 iptables -A FORWARD -s 10.11.1.0/24 -j ACCEPT #同上 #为避免VPS重启后NAT功能失效,可以把如上5行命令添加到 /etc/rc.local 文件中,添加在exit那一行之前即可。 |
25
gissimo OP |