说好的不需要客户端证书的 iOS 8 的 IKEv2 On-Demand VPN 教程来了

@goodbest
@g552656
@wzxjohn
@cattyhouse

再请教下楼主。总结下我的问题：

其实我的需求很简单，就是不断VPN，锁屏不断就行。请问我ikev1就够了吗？还是必须ikev2？

vps端，我配置了ikev1和ikev2.


客户端这里，Windows端，用原生的ikev2，配合EAP-MSCHAPv2
ios8目前用cisco ipsec完全没问题，但是ikev2始终配置不好。但是cisco锁屏一会儿还是会断。


是不是需要手动加入ondemand那几句？

@gissimo window 不能。 但是你可以直接下载楼主的 修改。

更正一点：leftid并非需要跟cert中的CN相同，可以写成leftid=@*，亲测可以使用。
应用场景：证书中签了多个域名(multiple domain)，有若干个subAlternative Domains

@JackWindows 在我的测试中不匹配会导致某些客户端应为证书不匹配导致服务器验证失败，不知道你是怎么生成证书的？
@gissimo 你的问题好多，等我明天慢慢回你。。。

@wzxjohn 我的证书是startssl签发的受信证书，包含多个域名(a.com/b.com/aa.a.com/bb.b.com)，如果按你的方法，我只能用某一个域名连接我的服务器，这显然是不科学的，我用不同域名来做线路区分的，比如cmcc.a.com就从移动线路进服务器，tele.a.com就从电信线路进。
而且我用的是leftid=@*，这个理论上不是通配符，匹配所有域名么？

@JackWindows 说实话没弄过这种多证书的情况不了解，多域名多线专卖VPN的巨巨就别来鄙视我们这些苦逼屌丝了。。。

@JackWindows 说错了，多域名证书。

@wzxjohn 你这说法让我很不爽，我只是自己有多线，需要用域名来区分线路而已，咋就莫名其妙变成VPN奸商了？？？

@JackWindows 我啥时候说你是奸商了？另外多线也不需要域名区分，直接DNS解析时返回不同IP就好。

@wzxjohn 智能解析当然有做，有个auto的域名。但这东西又不一定靠谱，定的解析规则也有可能不准，最后还不是得多域名。

@gissimo
1. 可以用，我已经在文章里更新了如何自签名纯IP服务器的证书
2. Windows下的Configurator都多少年没更新了，乖乖换Mac或者手写吧
3. 我的文章中写的就是eap的教程，没写用证书的情况
4. 锁屏不知道会不会断，但是断了会自动重连
5. On Demand需要手动加入，目前IKEv2按照我的方法你是看不到On Demand选项的。至于你的Cisco IPSec锁屏会断我不知道是为什么，没有研究过这个。

@wzxjohn 其实建议debug的话直接用ipsec start --nofrok，简单快捷

今天又发现一个问题，leftid=@*这句配置跟android下strongswan客户端冲突，所以需要两份配置文件来应对，一份leftid=@*给ios用，一份leftid=ikev2给android用

我发现断开IKEV2的时候，strongswan端并不会收到断开的消息，导致需要等timeout后用户才会被strongswan标记为下线...到底是iOS的bug呢还是strongswan的问题呢...

windows下的ikev2不存在这个bug...不知道是不是个例，最新版的strongswan也一样有问题

@hzx1987227 你说的这个问题我也发现了，确实是这样，似乎是strongswan的bug或者是机制？不过没有影响，所以我也就没在意这个。我觉得可能是为了断线快速重连。纯属猜测。因为我发现网络切换的时候重连VPN的时候事实上没有经过第一次连接时候那样的认证过程而是直接重用了之前的链接直接连上了。。。

@wzxjohn 我测试下来的结果是会多占用一个session，如果VPN有控制账号的session限制的话，会导致无法连接。只有等timeout后才会释放。（测试方法：连接VPN，断开WIFI，连接WIFI，VPN会自动重新连上）

@hzx1987227 这个问题已经考虑到了，所以在我的配置文件里特地写明了不限制连接数。

@wzxjohn 那看来我只能等iOS或者strongswan发现这个问题了 :(

@wzxjohn 这个strongSwan 怎么弄开机启动的？ 在strongSwan wiki 搜 startup boot 都搜不到有用的东西