使用 strongSwan 作為 VPN 伺服器來監督（始終線上）iOS VPN 客戶端。iOS 客戶端建立了與伺服器的兩個關聯。為什麼？

我rightsourceip=%dhcp在伺服器上使用，所以兩個客戶端不能有相同的leftid.

在使用之前rightsourceip=%dhcp，我使用uniqueids=never並10.0.2.0/24允許多個客戶端使用相同的leftid，但這似乎不起作用rightsourceip=%dhcp（我做錯了什麼嗎？）。

看起來受監督（始終線上）的 iOS VPN 客戶端建立了兩個關聯，一個通過 LTE，一個通過 Wi-Fi……這會中斷與 VPN 伺服器的連接。猜猜伺服器不知道必須將數據包發送到哪個關聯……並且一旦 Wi-Fi 啟動，iOS 可能不會在兩個介面上進行監聽。

我怎樣才能解決這個問題？還有，什麼rekeying disabled意思？

Security Associations (5 up, 0 connecting):
      ikev2[7]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...207.46.13.62[client@my-vpn.com]
      ikev2[7]: IKEv2 SPIs: 0a53e7fec5e65e2b_i 2d03da3fce35f91c_r*, rekeying disabled
      ikev2[7]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
      ikev2{7}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: c468b92b_i 00006960_o
      ikev2{7}:  AES_GCM_16_256, 8795 bytes_i (22 pkts, 0s ago), 4983 bytes_o (19 pkts, 41s ago), rekeying disabled
      ikev2{7}:   0.0.0.0/0 === 10.0.2.13/32
      ikev2[6]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...157.55.39.61[client@my-vpn.com]
      ikev2[6]: IKEv2 SPIs: e2a7434252a49075_i fe57e34b97ba086e_r*, rekeying disabled
      ikev2[6]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
      ikev2{6}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: cdc9dd9c_i 0ec723e6_o
      ikev2{6}:  AES_GCM_16_256, 8170 bytes_i (122 pkts, 0s ago), 0 bytes_o, rekeying disabled
      ikev2{6}:   0.0.0.0/0 === 10.0.2.13/32

如果對等點創建具有相同身份的多個 IKE_SA，並且沒有通過唯一性策略阻止，則這需要每個客戶端的多個虛擬 IP 才能正常工作（如您所述，伺服器只能通過其中一個發送定址到虛擬 IP 的數據包兩條隧道）。

因此，使用 DHCP 或 RADIUS 等後端分配靜態租約可能會很棘手，因為它們通常具有身份到 IP 地址的 1:1 映射。根據 DHCP/RADIUS 伺服器的實現，可以讓它們將多個 IP 分配給相同的身份（例如，通過配置多個靜態租約，或通過考慮身份之外的其他參數，請參閱相應的文件）。否則，您必須更改後端伺服器的配置（在 DHCP 外掛的情況下），以便將動態租約分配給客戶端。

還有，什麼rekeying disabled意思？

在配置中禁用了主動密鑰更新（例如通過rekey=no）。IKE 守護程序仍將響應來自客戶端的密鑰更新請求。

引用自：https://serverfault.com/questions/970258