说好的不需要客户端证书的 iOS 8 的 IKEv2 On-Demand VPN 教程来了

@GPU 还有，server.pem是放在 /etc/ipsec.s/certs/中，不是private中。

@1nt
把
<key>IPSec</key>
<dict>
...
</dict>
里的OnDemand那一段改成
<key>OnDemandEnabled</key>
<integer>1</integer>
<key>OnDemandRules</key>
<array>
<dict>
<key>Action</key>
<string>Connect</string>
</dict>
</array>
就是 always on 了

@xream 不要异想天开，这个选项的作用只是安装完配置文件之后On Demand选项是否默认开启。你可以实测一下也可以看看苹果的文档。

@wzxjohn 额 我想当然了...我真没试过 IKEv2... 但是 IPsec(Cisco) VPN 可以用...

能不能问下，strongswan(ipsec)和openvpn哪个好一点呢？小弟最近在配置openvpn，用途主要就是翻墙。希望能保证安全的情况下快一点。另外希望一台已越狱ios 7也能分流翻墙（只对于国外流量走vpn）。
谢谢啦～

@riaqn OpenVPN现在被干扰的很严重，所以强烈建议不要使用OpenVPN。。。

@wzxjohn 额 换端口，用udp也无济于事吗……
那我用strongswan好了……就是听说速度上不如openvpn快……

@riaqn strongswan的速度我觉得已经差不多了。。。OpenVPN我记忆中是协议问题导致流量容易被识别出来，然后直接被干掉。

@wzxjohn 我刚上网查了一下，好像用静态密钥，可能可以防止被识别。
http://www.chinagfw.org/2012/12/openvpngfw.html
这样，从握手开始就加密了，没有特征。

@riaqn 看来有人研究出了对策，你可以试试～自从这玩意被强烈干扰之后我就再也没用过了。。。

@wzxjohn ios 上貌似还是ipsec的方案更加成熟一点，我还是转strongswan吧～
谢谢帮助 :-)

@wzxjohn 要更新系统才能用最新版的apple configurator ，直接编辑完全不懂

@GPU 。。。原来你还没在用Yosemite啊。。。快装吧。。。别犹豫了。。。

感谢强尼

原先卡在wildcard证书这块,现在完美结局了,好顶赞

我想请问一下：
如果使用自签名的证书（而不是去证书服务商那里申请），需要特殊的设置么？

我已经在配置文件里加入了自签名ca文件，但是总是auth fail

补充一下35L的问题：

自签的ca证书的CN、serverCert和serverKey的CN、leftid的都已经设置的完全一致了。

而且这套证书在实现apache的https访问已经完全没问题（当然事先本机需手动导入ca根证书）

@goodbest 自签名证书需要在苹果的mobileconfig文件中添加证书，必须使用Apple Configurator添加证书。
顺便我写这个教程的目的就是尽量简化设置，所以强烈不建议使用自签名证书。同时自签名证书还有可能带来很严重的安全隐患，最好还是用已有的SSL证书吧。

补充一个
使用startssl的童鞋, 需要把startssl ca和class1或者class2的pem拷贝到/etc/ipsec.d/cacerts/

如果出现证书错误,请把
/etc/ipsec.d/cacerts/
/etc/ipsec.d/private/
/etc/ipsec.d/certs/
下面无用的证书都删掉,不然容易有各种各样的问题

@wzxjohn 我已经添加了证书，一直都是验证失败，不知道错在了哪一步。
主要是申请ssl证书真麻烦，之前去startssl申请被reject了一次...

@jiangeiie 这个我还真没试过，一会更新一下文章说明一下。
@goodbest 你的Apple设备上添加了证书吗？那应该不会错误了才对。。。去搞个GitHub送的免费证书吧。