Ios
使用 strongSwan 作為 VPN 伺服器來監督(始終線上)iOS VPN 客戶端。iOS 客戶端建立了與伺服器的兩個關聯。為什麼?
我
rightsourceip=%dhcp
在伺服器上使用,所以兩個客戶端不能有相同的leftid
.在使用之前
rightsourceip=%dhcp
,我使用uniqueids=never
並10.0.2.0/24
允許多個客戶端使用相同的leftid
,但這似乎不起作用rightsourceip=%dhcp
(我做錯了什麼嗎?)。看起來受監督(始終線上)的 iOS VPN 客戶端建立了兩個關聯,一個通過 LTE,一個通過 Wi-Fi……這會中斷與 VPN 伺服器的連接。猜猜伺服器不知道必須將數據包發送到哪個關聯……並且一旦 Wi-Fi 啟動,iOS 可能不會在兩個介面上進行監聽。
我怎樣才能解決這個問題?還有,什麼
rekeying disabled
意思?Security Associations (5 up, 0 connecting): ikev2[7]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...207.46.13.62[client@my-vpn.com] ikev2[7]: IKEv2 SPIs: 0a53e7fec5e65e2b_i 2d03da3fce35f91c_r*, rekeying disabled ikev2[7]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072 ikev2{7}: INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: c468b92b_i 00006960_o ikev2{7}: AES_GCM_16_256, 8795 bytes_i (22 pkts, 0s ago), 4983 bytes_o (19 pkts, 41s ago), rekeying disabled ikev2{7}: 0.0.0.0/0 === 10.0.2.13/32 ikev2[6]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...157.55.39.61[client@my-vpn.com] ikev2[6]: IKEv2 SPIs: e2a7434252a49075_i fe57e34b97ba086e_r*, rekeying disabled ikev2[6]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072 ikev2{6}: INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: cdc9dd9c_i 0ec723e6_o ikev2{6}: AES_GCM_16_256, 8170 bytes_i (122 pkts, 0s ago), 0 bytes_o, rekeying disabled ikev2{6}: 0.0.0.0/0 === 10.0.2.13/32
如果對等點創建具有相同身份的多個 IKE_SA,並且沒有通過唯一性策略阻止,則這需要每個客戶端的多個虛擬 IP 才能正常工作(如您所述,伺服器只能通過其中一個發送定址到虛擬 IP 的數據包兩條隧道)。
因此,使用 DHCP 或 RADIUS 等後端分配靜態租約可能會很棘手,因為它們通常具有身份到 IP 地址的 1:1 映射。根據 DHCP/RADIUS 伺服器的實現,可以讓它們將多個 IP 分配給相同的身份(例如,通過配置多個靜態租約,或通過考慮身份之外的其他參數,請參閱相應的文件)。否則,您必須更改後端伺服器的配置(在 DHCP 外掛的情況下),以便將動態租約分配給客戶端。
還有,什麼
rekeying disabled
意思?在配置中禁用了主動密鑰更新(例如通過
rekey=no
)。IKE 守護程序仍將響應來自客戶端的密鑰更新請求。