说好的不需要客户端证书的 iOS 8 的 IKEv2 On-Demand VPN 教程来了

2014-10-08 18:05:28 +08:00
 wzxjohn
因为打字的电脑木有中文输入法,所以先写的英文然后一句句翻的。大家凑合看吧。

http://maoxian.de/2014/10/setup-ikev2-on-demand-vpn-on-ios-8-and-ikev2-ikev1-cisco-ipsec-vpn-with-strongswan/1220.html

其中顺便说明了通配符证书的情况。如果大家遇到什么问题欢迎在v2留言,博客留言,email提问。
顺便一说如果要转载的话麻烦加个链接~谢谢~
31097 次点击
所在节点    分享创造
154 条回复
wzxjohn
2014-10-09 20:39:52 +08:00
@goodbest 估计是iOS的实现问题,还是等等好了。。。
GPU
2014-10-10 00:39:04 +08:00
@wzxjohn 有空能帮忙建一个配置文件么?yosemite b1安装的时候提示“停止供货了”,只能等正式版出了再装。
wzxjohn
2014-10-10 01:52:30 +08:00
@GPU 请安装B2
goodbest
2014-10-10 10:08:39 +08:00
关于60L说的。
考虑到ios可能对路由条目数量有限制,所以加了这个。一个别人ios anyconnect正在用的配置。

leftsubnet = 103.0.0.0/8,106.0.0.0/8,107.0.0.0/8,108.0.0.0/8,141.0.0.0/8,153.0.0.0/8,160.0.0.0/8,166.0.0.0/8,17.0.0.0/8,173.0.0.0/8,176.0.0.0/8,178.0.0.0/8,184.0.0.0/8,194.0.0.0/8,198.0.0.0/8,199.0.0.0/8,203.0.0.0/8,204.0.0.0/8,205.0.0.0/8,208.0.0.0/8,209.0.0.0/8,210.0.0.0/8,216.0.0.0/8,3.0.0.0/8,4.0.0.0/8,31.0.0.0/8,46.0.0.0/8,50.0.0.0/8,54.0.0.0/8,61.0.0.0/8,64.0.0.0/8,67.0.0.0/8,68.0.0.0/8,69.0.0.0/8,70.0.0.0/8,72.0.0.0/8,74.0.0.0/8,75.0.0.0/8,76.0.0.0/8,77.0.0.0/8,79.0.0.0/8,8.0.0.0/8


结果推特、dropbox、youtube等都无法访问,但奇怪的是谷歌完全没问题。

所以我现在也搞不清到底是谁出了问题
wzxjohn
2014-10-10 12:34:31 +08:00
@goodbest 会不会推特和DB等是DNS的问题?这个我还真没法测试。。。因为我人在墙外,只能靠你们了!
cattyhouse
2014-10-10 13:26:20 +08:00
@wzxjohn 下面这段代码的意思就是无论任何条件只要连接3G,Wifi网络设备(注意,不一定是能上网),vpn都自动连接,等于always on,请自行阅读apple官网文档。我目前就是用这段代码,已经验证,无论ikev1,还是v2,vpn都是自动连接。

key>OnDemandEnabled</key>
<integer>1</integer>
<key>OnDemandRules</key>
<array>
<dict>
<key>Action</key>
<string>Connect</string>
</dict>
</array>
wzxjohn
2014-10-10 13:54:34 +08:00
@cattyhouse 我非常确信这段代码期中OnDemandEnabled = 1的含义是是否在安装时默认开启On-Demand选项,这个请明知。还有这段代码确实可以实现类似与Always On的功能,但是这并不是Always On VPN。或者说其实On-Demand是Always On的高级版本,可以根据域名来选择。
GPU
2014-10-10 22:45:56 +08:00
@wzxjohn Beta 2 搞了一晚上也是无法安装。停止供货了。
wzxjohn
2014-10-11 00:24:30 +08:00
@GPU 我说错了,现在是Beta5 GM2了
GPU
2014-10-11 00:39:16 +08:00
@wzxjohn 貌似Beta5 GM2没有完整的包
GPU
2014-10-11 19:18:34 +08:00
@wzxjohn email 了一个邮件发了配置文件给你 ,麻烦帮忙看看是不是有问题 。谢了。
GPU
2014-10-12 16:23:29 +08:00
@wzxjohn
wget http://download.strongswan.org/strongswan-5.2.0.tar.bz2
tar xjvf strongswan-5.2.0.tar.bz2; cd strongswan-5.2.0
./configure --prefix=/usr --sysconfdir=/etc --enable-eap-mschapv2 --enable-eap-identity --enable-eap-peap --enable-openssl --enable-md4
make & make install

以上是strongswan 最新版完整的编译命令 .
如果使用apt-get 默认的源 版本是4.6的 ,官方最新是5.2.0
goodbest
2014-10-12 18:33:40 +08:00
看到lz把基于domain的ondemand rule改为了类似always on的connect


于是我本人使用ikev2的主要目的还是翻墙,所以还是需要考虑让某些国内网址不走代理。
否则等vpn自动连接了以后,访问国内网站还要手动关vpn才行,可能稍有不便。
而我60L的方法又测试失败了。


于是目前我考虑这样设置:
http://pastebin.com/X1h0fJXS

其中的第一大块是被墙的网址,如果访问的话就自动连接vpn。

第二大块网址是即使当前已经连接了vpn,但这些网址也会不走vpn的。这里适合设置成国内视频站之类的网址。(我这里设置成了看自己ip的站点,方便测试。)
这一块网址我打算借用一下现有的轮子,比如这里https://github.com/linusyang/MobileShadowSocks/blob/master/MobileShadowSocks/auto.pac


另外我打算马上打算测试一下通配符网址能否用,如果可以的话就可以直接bypass *.cn
zlbruce
2014-10-13 23:08:59 +08:00
@goodbest 请问,测试结果怎样呢?
goodbest
2014-10-13 23:25:52 +08:00
@zlbruce *.cn可用
但如果rule加太多域名会拖慢速度...几百个应该是极限了
zlbruce
2014-10-13 23:28:02 +08:00
@goodbest 多谢
wzxjohn
2014-10-13 23:36:23 +08:00
@goodbest 可以自动断开VPN并在需要的时候重连么?就算网络没有变化?
goodbest
2014-10-13 23:40:05 +08:00
@wzxjohn 访问第二段里面的网站,vpn的标志还在(也就是vpn并未断开),但实际上流量没走vpn(访问ip138看ip就能看出来,通过页面加载速度也能感觉出来)。
wzxjohn
2014-10-14 00:13:12 +08:00
@goodbest 哦?还有这种功效?我要试试。。。
freeznet
2014-10-14 11:23:56 +08:00
@goodbest 你是否把https://github.com/linusyang/MobileShadowSocks/blob/master/MobileShadowSocks/auto.pac中的域名都放到了第二块网址中呢?太多rule拖慢速度的程度是怎么样的呢?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/137653

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX