V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
gissimo
V2EX  ›  问与答

Digital Ocean 搭建 Strongswan 的 ipsec 讨论

  •  2
     
  •   gissimo · 2014-10-11 20:22:43 +08:00 · 9433 次点击
    这是一个创建于 3695 天前的主题,其中的信息可能已经有所发展或是发生改变。
    教程基本参考
    这里用到最新的5.2.0,但是是Windows phone。我说iOS,所以还参考了https://wiki.strongswan.org/projects/strongswan/wiki/IOS_%28Apple%29和http://maclue.tumblr.com/post/11947923571/strongswan-ipsec-vpn-for-ios

    折腾了一整天,还是服务器无响应。想问有无v2er搭建成功过啊,求指点
    28 条回复    2014-10-14 16:15:01 +08:00
    gissimo
        1
    gissimo  
    OP
       2014-10-11 20:23:18 +08:00
    第一条网址怎么没发出来。补充在这里:

    https://gist.github.com/losisli/11081793
    gissimo
        2
    gissimo  
    OP
       2014-10-11 20:23:45 +08:00
    https://gist.git 去掉空格 hub.com/losisli/11081793
    yxjxx
        3
    yxjxx  
       2014-10-11 20:28:00 +08:00
    http://blog.yxjxx.com/2014/08/06/setting-IKEV2-VPN-for-windows-phone.html 这也是windows phone的教程,不知道iOS上是不是一样的?
    0zero0
        4
    0zero0  
       2014-10-11 21:06:25 +08:00
    之前搭建过,成功了一次,后来重装系统,再弄的时候,就出现问题了,总的来说是因为OpenSwan的版本兼容性问题。
    hanqi7012
        5
    hanqi7012  
       2014-10-11 21:45:55 +08:00 via iPhone   ❤️ 1
    openswan也好strongswan也好我就手动设置成功过一次…我太笨…

    后来懒了

    用脚本

    https://github.com/jlund/streisand

    默认debian环境吧…我单独利用里面l2tp来自动配置…
    caonan
        6
    caonan  
       2014-10-11 22:26:50 +08:00
    DO还算老实,我的那个 VPS 的 OS 都是他们自己编辑的,把 ipsec 的 kernel 支持全部去掉了。。。
    gissimo
        7
    gissimo  
    OP
       2014-10-11 22:29:39 +08:00
    @hanqi7012 这个好像没有cisco ipsec吧?
    superwbd
        8
    superwbd  
       2014-10-11 22:33:31 +08:00
    Strongswan有时抽风,建议racoon。。。。
    fuck010bj
        9
    fuck010bj  
       2014-10-12 09:26:32 +08:00
    ios 要安装两个证书才能使用cisco ipsec
    cattyhouse
        10
    cattyhouse  
       2014-10-12 09:40:57 +08:00 via iPhone
    可以看看我的v2ex帖子。iOS现在ikev2有bug。
    gissimo
        11
    gissimo  
    OP
       2014-10-12 14:51:24 +08:00
    @fuck010bj 你成功了吗?我生成了2个证书,都导入到手机安装了,还是 服务器无响应啊
    fuck010bj
        12
    fuck010bj  
       2014-10-12 15:03:54 +08:00
    @gissimo p12那个证书好像要设置密码才行
    fuck010bj
        13
    fuck010bj  
       2014-10-12 15:05:56 +08:00
    @gissimo 把你的针对ios ciscoipsec的ipsec.conf设置部分贴出来看看,上面没有
    gissimo
        14
    gissimo  
    OP
       2014-10-12 15:47:30 +08:00
    @fuck010bj 对的,生成的时候输入密码,导入ios的时候密码验证

    # ipsec.conf - strongSwan IPsec configuration file

    # basic configuration

    config setup
    strictcrlpolicy=no
    uniqueids =yes
    conn ios
    keyexchange=ikev2
    authby=xauthrsasig
    xauth=server
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftfirewall=yes
    leftcert=serverCert.pem
    right=%any
    rightsubnet=10.0.0.0/24
    rightsourceip=10.0.0.2
    rightcert=clientCert.pem
    pfs=no
    auto=add
    # Add connections here.

    # Sample VPN connections

    #conn sample-self-signed
    # leftsubnet=10.1.0.0/16
    # leftcert=selfCert.der
    # leftsendcert=never
    # right=192.168.0.2
    # rightsubnet=10.2.0.0/16
    # rightcert=peerCert.der
    # auto=start

    #conn sample-with-ca-cert
    # leftsubnet=10.1.0.0/16
    # leftcert=myCert.pem
    # right=192.168.0.2
    # rightsubnet=10.2.0.0/16
    # rightid="C=CH, O=Linux strongSwan CN=peer name"
    # auto=start
    fuck010bj
        15
    fuck010bj  
       2014-10-12 15:59:07 +08:00
    @gissimo cisco ipsec 只能用ikev1吧 rightauth也没设置
    fuck010bj
        16
    fuck010bj  
       2014-10-12 16:01:31 +08:00
    @gissimo
    conn iOS-IKEv1
    keyexchange=ikev1
    fragmentation=yes
    left=%defaultroute
    leftauth=pubkey
    leftsubnet=0.0.0.0/0
    leftcert=Server.Cert.pem
    right=%any
    rightauth=pubkey
    rightauth2=xauth
    rightsourceip=10.2.0.0/16
    rightcert=Client.Cert.pem
    auto=add
    gissimo
        17
    gissimo  
    OP
       2014-10-12 16:17:25 +08:00
    @fuck010bj 我看到那篇文章里用到了ikev2啊
    fuck010bj
        18
    fuck010bj  
       2014-10-12 16:24:59 +08:00
    @gissimo cisco ipsec啊,ikev2的话 iphone要装配置文件
    gissimo
        19
    gissimo  
    OP
       2014-10-12 16:50:18 +08:00
    @fuck010bj 很感谢,改了后ios能连接,但是不能打开网页,dns我记得已经改过8.8.8.8了啊

    ipsec start时候提示三个错误,0 fatal

    three parsing errors, o fatal

    deprecated keyword 'nat_transversal' in config setup
    deprecated keyword 'plutostart' in config setup
    deprecated keyword 'pfs' in conn 'ios'
    gissimo
        20
    gissimo  
    OP
       2014-10-12 16:54:35 +08:00
    @fuck010bj 换成你的就是fatal error,unable start了。我用的是https://wiki.strongswan.org/projects/strongswan/wiki/IOS_%28Apple%29的,

    config setup
    plutostart=yes
    nat_traversal=yes

    conn ios
    keyexchange=ikev1
    authby=xauthrsasig
    xauth=server
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftfirewall=yes
    leftcert=serverCert.pem
    right=%any
    rightsubnet=10.0.0.0/24
    rightsourceip=10.0.0.2
    rightcert=clientCert.pem
    pfs=no
    auto=add


    deprecated keyword 'nat_transversal' in config setup
    deprecated keyword 'plutostart' in config setup
    deprecated keyword 'pfs' in conn 'ios'
    fuck010bj
        21
    fuck010bj  
       2014-10-12 16:56:37 +08:00
    @gissimo 转发没成功打开;这三个都不用写在配置文件里
    gissimo
        22
    gissimo  
    OP
       2014-10-12 16:58:58 +08:00
    @fuck010bj 好像用你那段就是服务器无响应或者negotiation error。我这段可以连上但是不能上网,为什么啊
    gissimo
        23
    gissimo  
    OP
       2014-10-12 17:00:02 +08:00
    @fuck010bj 所以我要重新运行下下面的?
    iptables -A INPUT -p udp --dport 500 -j ACCEPT
    iptables -A INPUT -p udp --dport 4500 -j ACCEPT
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -s 10.11.1.0/24 -o eth0 -j MASQUERADE #地址与上面地址池对应
    iptables -A FORWARD -s 10.11.1.0/24 -j ACCEPT #同上
    #为避免VPS重启后NAT功能失效,可以把如上5行命令添加到 /etc/rc.local 文件中,添加在exit那一行之前即可。
    fuck010bj
        24
    fuck010bj  
       2014-10-12 17:00:11 +08:00
    plutostart=yes
    nat_traversal=yes 不对,老版本的设置;
    @gissimo
    gissimo
        25
    gissimo  
    OP
       2014-10-12 18:26:51 +08:00   ❤️ 1
    @yxjxx
    @fuck010bj
    @superwbd
    @caonan
    @hanqi7012
    @0zero0

    搭建成功。感谢各位!
    lhxhanson
        26
    lhxhanson  
       2014-10-14 13:33:44 +08:00
    @gissimo
    我今天配ios的时候 始终不能用 wp+android我倒是都通了 能把你最后的ipsec.conf放出来么
    gissimo
        27
    gissimo  
    OP
       2014-10-14 14:53:15 +08:00 via iPhone
    @lhxhanson 就在上面有
    lhxhanson
        28
    lhxhanson  
       2014-10-14 16:15:01 +08:00
    @gissimo 20L?好像不行么,我再试试呢。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1120 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 18:36 · PVG 02:36 · LAX 10:36 · JFK 13:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.