最近研究 iOS Ondemand 或者 Always ON IPSec VPN 的成果,目前使用中,非常满意已经抛弃了 Anyconnect 了。
cattyhouse · 2014-09-23 22:41:44 +08:00 · 26274 次点击这是一个创建于 3719 天前的主题,其中的信息可能已经有所发展或是发生改变。
用的是Strongswan搭建服务器,然后Apple Configurator配置,并且参考了Apple官方文档和其他博客做了手动修改配置文件,现在很爽的使用中。无论网络如何切换,VPN都自动拨号。
Anyconnect很好,但是速度上不去,iOS8下面尤其明显,最高没超过2Mbps,也就是256KBps,即便在我的30M带宽下面。
欢迎测试,希望方便有需要的朋友们。
https://medium.com/@cattyhouse/ios-ondemand-ipsec-vpn-setup-ebfb82b6f7a1?source=latest&
Anyconnect很好,但是速度上不去,iOS8下面尤其明显,最高没超过2Mbps,也就是256KBps,即便在我的30M带宽下面。
欢迎测试,希望方便有需要的朋友们。
https://medium.com/@cattyhouse/ios-ondemand-ipsec-vpn-setup-ebfb82b6f7a1?source=latest&
第 1 条附言 · 2014-09-23 23:57:26 +08:00
各位看着读,具体应用的时候不要直接copy然后。。。 这个网站Medium把代码格式全部打乱了。。。我改时间换个地方放置。
第 2 条附言 · 2014-09-24 00:25:44 +08:00
原来Medium.com支持代码的,Ctrl+6 (windows)或者 Ctrl+Option+6 (mac)就能插入代码了。已经重新修改格式化了文章。
第 3 条附言 · 2014-09-24 00:28:16 +08:00
吐槽一下,很多人在卖VPN服务,比如什么黑科技什么东哥的,但没人写详细的配置方法。。。
101 条回复 • 2015-03-28 22:08:49 +08:00
 |
1
goodbest 2014-09-23 22:44:08 +08:00
一直在默默关注中,既然lz搞好了,就赶紧来学学...
|
 |
2
Perry87 2014-09-23 22:54:29 +08:00 via iPad
多谢,楼主这个方式是全局翻?AnyConnect 可以下发路由表还蛮有用的。
|
 |
3
wzxjohn 2014-09-23 23:00:18 +08:00
楼主为啥要用英文发。。。
|
|
4
wzxjohn 2014-09-23 23:05:29 +08:00
顺便一说楼主的方法只适用于个人使用,不太适用于多人环境。
|
 |
5
cattyhouse OP @Perry87 全局翻墙。我也喜欢anyconnect,但是目前为止,Anyconnect的服务器端还是一个兼容的ocserv创建的。现在我出现这种速度慢的现象无法搞定,研究了很久也搞不定。所以只有这样了。
|
|
6
cattyhouse OP @wzxjohn 为什么不适合多人的环境?iPhone配置文件可以下发给无数人,然后服务端可以创建无数账户。
|
|
7
wzxjohn 2014-09-23 23:18:23 +08:00
@cattyhouse 因为你的证书需要每人生成一份。。。你这个配置指定了那一份证书。
|
|
8
cattyhouse OP @wzxjohn 证书为什么需要每人一份呢?我这个证书可以用在任何不限制数量的iOS设备上的啊。你在调查调查再发言把。
|
|
10
cattyhouse OP @GPU 因为研究的时候看文章都是英文的,所以就写了英文的了。看不下去你也就不用弄了,直接买别人的服务把。
|
|
11
cattyhouse OP @wzxjohn 至少我的配置文件已经在我的Macbook和iPhone上都安装可用了,再多一台或者n台设备也无妨吧。证书跟IPSec Xauth的用户名和密码是不相关连的。Apple Configurator上用证书的时候是需要填入用户名和密码的,使用过程中是无需干扰的自动连接。
|
 |
12
lovelinghan 2014-09-23 23:38:07 +08:00
Mark
|
 |
13
ooxxcc 2014-09-23 23:38:49 +08:00
@cattyhouse 我确认一下,是一份证书用来验证第一层,然后第二层用xauth(PSK)对吧……我去折腾一下,之前实验后忘了出了啥问题,总之后来抛弃这个方法没用折腾APNP去了,原来要手动修改文件……
https://work.ooxxcc.com/tools/cisco-vpn-with-strongswan/ |
|
14
lovelinghan 2014-09-23 23:40:57 +08:00
Strongswan搭建ipsec 每天都要重启的才能用的 感觉不是很兼容
|
|
15
cattyhouse OP @lovelinghan 每天需要重启是因为你的ipsec.conf配置上有问题,因为iPhone经常切换网络,切换网络vpn就会断开,然后在服务器端有个死链接,需要服务器快速的结束这个死链接,所以导致你再次连接的时候就无法连接,这是一个之前困扰我的问题,在ipsec.conf设置 dpdtimeout = 5s 就解决了。你也可以设置更短的时间。
|
 |
16
mutinux 2014-09-23 23:45:05 +08:00
您这第一句英文就有语法问题。。。
|
|
17
cattyhouse OP @ooxxcc openswan不是已经被抛弃了吗?现在叫libreswan吧,我没用过。对的,ondemand必须手动修改*.mobileconfig文件。
|
|
18
cattyhouse OP @mutinux 那里有语法问题?focus on 内容吧。。。先生。。。
|
|
19
goodbest 2014-09-23 23:48:07 +08:00
@cattyhouse 换个地方放code吧,那个地方把代码格式字符全毁了
|
|
20
cattyhouse OP @goodbest 唉。。。 不行搬到 blogspot上去。。。但没时间搞了。
|
|
21
ooxxcc 2014-09-23 23:52:54 +08:00
@cattyhouse 后来改成strongswan了,标题没改。。。。
|
|
22
ooxxcc 2014-09-23 23:55:46 +08:00
@cattyhouse 另外似乎ios不支持*.xxx.com这样的wildcard证书?每个服务器要一套证书实在太蛋疼了
|
|
23
cattyhouse OP @ooxxcc 恩,证书是per服务器的,这些证书不能复制到别的服务器上用的。但是可以下发给任何用户。这些用户都会连接到这个服务器。
|
 |
24
zqqf16 2014-09-24 00:10:02 +08:00
哈哈,目前的工作和 lz 研究的是一个东西~
|
|
25
ooxxcc 2014-09-24 00:12:04 +08:00
@cattyhouse 恩,我需要弄5~6套这玩意,想起来就蛋疼不想弄了……
|
|
26
wzxjohn 2014-09-24 00:26:23 +08:00 via iPad
@cattyhouse 你果然没理解我的意思。。。如果你把同样的证书发给所有人那么如何区分这些用户呢。。。
|
|
27
cattyhouse OP @zqqf16 我纯粹业余爱好。。。我是做销售的。。。
|
|
28
cattyhouse OP @wzxjohn 区分用户用用户名和密码。。。创建iPhone的配置的时候是需要填入服务器上设置的Xauth账户的。。。
|
|
29
wzxjohn 2014-09-24 00:28:08 +08:00 via iPad
@cattyhouse 我为了这个东西也跟你一样折腾了好久,而且也跟你邮件交流过,所以千万不要认为我啥都没做就在这臆测哦。。。
|
|
30
cattyhouse OP @wzxjohn 现在折腾好了。。。你可以直接用了 :)
|
|
31
wzxjohn 2014-09-24 00:30:06 +08:00 via iPad
@cattyhouse 嗷,第一次看你的代码是被完全打乱的,没注意到你还开了第二重认证。那么,其实你这样就完全不需要证书了。。。为何多此一举呢。。。
|
|
32
cattyhouse OP @wzxjohn 不是我要开二重认证。。。是Apple Configurator在配置的时候即使你选择了证书,你依然需要输入服务器上配置的Xauth的账户,也就是 /etc/ipsecs.secrets里面的。
|
|
33
wzxjohn 2014-09-24 00:31:42 +08:00 via iPad
@cattyhouse 我大概4天前已经折腾好了,只是跟你的方法稍有差别,不过感觉更方便,可以zhijie省掉证书。虽然说证书似乎也没啥大影响。
|
|
34
wzxjohn 2014-09-24 00:32:21 +08:00 via iPad
@cattyhouse 所以你直接把证书关掉开EAP即可啦~
|
|
35
cattyhouse OP @wzxjohn 没有证书你可以 ondemand? 你根本无法开启这个选项。。。
|
|
36
cattyhouse OP @wzxjohn 只有证书模式才能开启 Ondemand,注意我这里重点是要VPN Ondemand,如果不需要这个功能我何必折腾IPSec?一个PPTP不就搞定了?
|
|
37
wzxjohn 2014-09-24 00:34:53 +08:00 via iPad
@cattyhouse 要不要我发我的配置文件给你试试啊~没成功的话我会乱说么~
|
|
38
cattyhouse OP @wzxjohn 发个mobileconfig文件给我看看,去掉敏感信息的。。。你确定没有配置可以自动连接VPN?包括切换网络包括待机恢复的时候?
|
|
39
wzxjohn 2014-09-24 00:47:28 +08:00
@cattyhouse 配置文件在我的Mac上,现在懒得开了,发两张iPad的截图
https://www.dropbox.com/s/u3kq6oho1b67lwe/Photo%209-24-14%2C%2000%2038%2049.png?dl=0 这张说明了我的配置文件只有一个证书也就是CA,并没有用户证书,证明我的验证中并没有开启证书 https://www.dropbox.com/s/igzmb7nh4jiucc9/Photo%209-24-14%2C%2000%2038%2057.png?dl=0 这张证明了我的配置文件成功开启了On Demand。不过我现在不用VPN所以直接关了。经过测试,打开On Demand后,只要访问了指定的URL就会自动开启VPN,完全达到要求。 |
|
41
cattyhouse OP @wzxjohn 你用的IKEv2啊?我这个配置方法文件用的IKEv1 ...
|
|
42
cattyhouse OP @wzxjohn 你有空写个IKEv2的服务器和iOS配置方法吧,谢谢了。
|
|
43
wzxjohn 2014-09-24 00:54:39 +08:00
@cattyhouse IKEv1。。。好吧。。。我记得你之前发帖的时候标题是:
iOS 8 支持 Always On 和 IKE2 VPN 了 。。。。。。。。。为啥换了。。。 IKEv2还是挺赞的,主要是WP用户原生支持啊!//虽然我不是WP用户。。。 @dd99iii 其实就算是不要证书还是需要Profile,这个是必须的。因为系统中没有IKEv2 VPN这个选项。倒是CA证书其实也是可以省掉的,如果直接用SSL证书来代替的话。 |
|
44
wzxjohn 2014-09-24 00:56:22 +08:00
@ooxxcc 我觉得可能是支持通配符证书的,不过我没有试过,明天有时间试一下吧。因为iOS 8在校验证书的时候应该也是按照标准方法来进行校验,这样的话应该是支持通配符证书的。
|
|
45
wzxjohn 2014-09-24 00:57:14 +08:00
@cattyhouse 肯定会写,但是恐怕要到国庆了。。。
|
|
47
ooxxcc 2014-09-24 01:15:25 +08:00
另外所谓黑科技加速是另外一个东西。。和你写的这些无关。。。。
|
 |
48
Actrace 2014-09-24 07:52:10 +08:00
AC不慢啊,楼主,速度这个问题大部分是因为水管小造成的,特别是部分垃圾VPS,夜间速度很烂的.我的AC可以稳定上50M啊.
延迟高的线路最好就别用UDP模式传输数据了,线路利用率很低的. |
|
49
cattyhouse OP @Actrace 小水管?我企业30M上下对等的电信宽带,日本linode服务器,还是只能跑2Mbps也就是250KBps。
你是iOS8吗?我的Mac上Anyconnect没问题的。 |
 |
50
agassi_yzh 2014-09-24 08:22:52 +08:00
|
|
51
lovelinghan 2014-09-24 08:31:15 +08:00
@cattyhouse dpdtimeout =3s 我的 还是照样没人要ipsec restart
|
|
52
wzxjohn 2014-09-24 09:22:11 +08:00
@ooxxcc
@cattyhouse 实验成功!事实证明通配符证书是可以使用的,同时你给网站申请的SSL证书是可以直接作为服务器证书使用的!比如说我现在下发给iPhone的配置文件里面就没有证书,只有账号信息! |
|
54
Perry87 2014-09-24 10:29:28 +08:00
|
2 |
58
ooxxcc 2014-09-24 11:39:48 +08:00
|
|
59
wzxjohn 2014-09-24 11:53:11 +08:00
@ooxxcc
1. 不需要任何CA,因为SSL证书的CA默认是被iOS信任的,之所以之前要装证书是因为自签名的证书默认不会被信任 2. 不可用。IKEv2是iOS 8才有的新特性。但是IKEv1(Cisco IPSec) iOS 7可用。 3. 如2,IKEv2 |
|
62
wzxjohn 2014-09-24 18:43:32 +08:00
|
|
63
wzxjohn 2014-09-24 22:44:31 +08:00
@cattyhouse 我发现我的证书有点小问题,在WIFI下随便切换VPN会重连没问题,但是如果从WIFI断开连到移动数据VPN就不会自动重连了。你有这个问题么?
|
|
64
cattyhouse OP @wzxjohn 我没有这个问题啊。你是IKEv2还是v1?
|
|
65
wzxjohn 2014-09-25 08:29:47 +08:00
@cattyhouse 可以发一份你的Profile给我看看么?我觉得是Profile的问题。。。我的是IKEv2
|
|
66
cattyhouse OP @wzxjohn 我的profile是ikev2,我就加了 action connect,其余都是按照我教程上写的做的。
|
|
67
cattyhouse OP @wzxjohn sorry,ikev1
|
|
71
cattyhouse OP @GPU CentoOS就会这样。。。 我也不知道为什么。 据说是/var/random的数据不够。所以我说了,debian makes it easier。
|
|
72
cattyhouse OP @GPU debian 7不至于的,你可以一条一条的执行,估计你卡在第一条上了。
|
 |
73
GPU 2014-09-25 21:48:40 +08:00
@cattyhouse 我是一条一条的执行也是不行。
|
|
74
GPU 2014-09-25 21:49:27 +08:00
@cattyhouse 就是第一次不行。
|
 |
77
1nt 2014-09-25 22:58:01 +08:00
在 MAS 里面下的 Apple Configurator 1.6,打开没反应,
过了很久弹出这个:  点击确认以后 Apple Configurator 就自动退出啦 求教是为什么 |
 |
78
gissimo 2014-10-12 20:51:53 +08:00
请教楼主,我已经搭建好ipsec了。现在是不是要在配置文件中加入dpdtimeout = 5s
然后请教手机端能不能直接用默认的Cisco,再改个文件? |
|
79
cattyhouse OP @1nt 卸载重装
|
|
80
cattyhouse OP @gissimo 不需要加。手机客户端直接可以用。
|
|
81
gissimo 2014-10-12 21:06:57 +08:00
@cattyhouse 手机端我是在系统的vpn里添加的。是不是就不能断线重连了?一定要在配置文件改?
|
|
82
gissimo 2014-10-12 21:13:39 +08:00
@cattyhouse 还有啊,Windows的版本下,找不到导入证书那两栏诶
|
|
83
cattyhouse OP |
|
84
gissimo 2014-10-12 21:34:40 +08:00
@cattyhouse 恩,导入了证书。请问Windows下能用txt编辑配置文件吗?我改好后导入,点安装没反应啊
|
|
85
cattyhouse OP @gissimo 导出的时候不要给配置文件签名;最好不要用txt编辑,用notepad++也好。。。 没反应那一定是你的配置文件有问题。
|
|
86
gissimo 2014-10-12 21:52:52 +08:00
|
|
87
cattyhouse OP @gissimo 手机待机vpn自动断开。只要试图联网,它就拨号。
|
|
88
gissimo 2014-10-13 00:08:22 +08:00 via iPhone
@cattyhouse 可是我这上面完全没这个效果啊?按照你的制作配置文件的步骤制作出来导入的诶
|
 |
89
emptyzone 2014-10-14 11:51:52 +08:00
|
|
90
emptyzone 2014-10-14 11:53:29 +08:00
IKEv1 也是支持 SplitTunnel 的。在配合上自己的抗污染DNS。连接速度也不错。
@cattyhouse 看看我写的这个能满足你的需求吗。 http://emptyzone.github.io/tech/2014/10/13/cross-fire-wall-on-ios8/ |
 |
91
wangqj 2014-10-17 15:40:41 +08:00
|
 |
93
debiansid 2014-11-22 20:03:58 +08:00 via iPhone
Any connect 没有自动重连。怎么破
|
|
94
cattyhouse OP @debiansid who told you?
|
|
95
debiansid 2014-11-23 01:56:19 +08:00
@cattyhouse 自己的手机看到的情况啊
|
|
96
debiansid 2014-11-23 20:53:31 +08:00
@cattyhouse ipsec 配置折腾好几天了,发现是openwrt的默认规则好像阻止进来的udp,用3G上网可以连
|
|
97
debiansid 2014-11-24 21:24:37 +08:00 via iPhone
能否配置为连到特定的ssid 不拨vpn?
|
|
99
debiansid 2014-11-24 21:41:32 +08:00 via iPhone
@cattyhouse 多人用同一证书但是必须用不同账户才可以,对么?
|
Select Language