Ios

使用 strongSwan 作為 VPN 伺服器來監督(始終線上)iOS VPN 客戶端。iOS 客戶端建立了與伺服器的兩個關聯。為什麼?

  • June 6, 2019

rightsourceip=%dhcp在伺服器上使用,所以兩個客戶端不能有相同的leftid.

在使用之前rightsourceip=%dhcp,我使用uniqueids=never10.0.2.0/24允許多個客戶端使用相同的leftid,但這似乎不起作用rightsourceip=%dhcp(我做錯了什麼嗎?)。

看起來受監督(始終線上)的 iOS VPN 客戶端建立了兩個關聯,一個通過 LTE,一個通過 Wi-Fi……這會中斷與 VPN 伺服器的連接。猜猜伺服器不知道必須將數據包發送到哪個關聯……並且一旦 Wi-Fi 啟動,iOS 可能不會在兩個介面上進行監聽。

我怎樣才能解決這個問題?還有,什麼rekeying disabled意思?

Security Associations (5 up, 0 connecting):
      ikev2[7]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...207.46.13.62[client@my-vpn.com]
      ikev2[7]: IKEv2 SPIs: 0a53e7fec5e65e2b_i 2d03da3fce35f91c_r*, rekeying disabled
      ikev2[7]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
      ikev2{7}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: c468b92b_i 00006960_o
      ikev2{7}:  AES_GCM_16_256, 8795 bytes_i (22 pkts, 0s ago), 4983 bytes_o (19 pkts, 41s ago), rekeying disabled
      ikev2{7}:   0.0.0.0/0 === 10.0.2.13/32
      ikev2[6]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...157.55.39.61[client@my-vpn.com]
      ikev2[6]: IKEv2 SPIs: e2a7434252a49075_i fe57e34b97ba086e_r*, rekeying disabled
      ikev2[6]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
      ikev2{6}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: cdc9dd9c_i 0ec723e6_o
      ikev2{6}:  AES_GCM_16_256, 8170 bytes_i (122 pkts, 0s ago), 0 bytes_o, rekeying disabled
      ikev2{6}:   0.0.0.0/0 === 10.0.2.13/32

如果對等點創建具有相同身份的多個 IKE_SA,並且沒有通過唯一性策略阻止,則這需要每個客戶端的多個虛擬 IP 才能正常工作(如您所述,伺服器只能通過其中一個發送定址到虛擬 IP 的數據包兩條隧道)。

因此,使用 DHCP 或 RADIUS 等後端分配靜態租約可能會很棘手,因為它們通常具有身份到 IP 地址的 1:1 映射。根據 DHCP/RADIUS 伺服器的實現,可以讓它們將多個 IP 分配給相同的身份(例如,通過配置多個靜態租約,或通過考慮身份之外的其他參數,請參閱相應的文件)。否則,您必須更改後端伺服器的配置(在 DHCP 外掛的情況下),以便將動態租約分配給客戶端。

還有,什麼rekeying disabled意思?

在配置中禁用了主動密鑰更新(例如通過rekey=no)。IKE 守護程序仍將響應來自客戶端的密鑰更新請求。

引用自:https://serverfault.com/questions/970258