标签: ikev2

我的 ubuntu 服务器上运行着最新版本的 Strongswan vpn。我在这里学习了本教程，并让它在我的 android 和 Iphone 上运行。

现在我想让它在我的 Windows 10 笔记本电脑上工作，但是当我尝试通过 Windows 中的 vpn 设置进行连接时，我只会收到“策略匹配错误”，并且事件视图给了我错误代码“13868”。

经过多次谷歌搜索，我仍然找不到任何可行的解决方案。

我能做什么？

尝试在 LAN 上的两台主机之间使用 IPSEC。不涉及 VPN

使用 OpenBSD 5.8（在 VirtualBox 中）。我更喜欢使用 OpenBSD 对 IPSEC 和密钥交换的内置支持，而不是第三方。

两个主机：（10.0.2.10主机“A”）和10.0.2.11（主机“B”）

他们可以在尝试设置 IPSEC 之前互相 ping/ssh。

更新：我想也许 OpenIKED (IKE v2) 不支持transport模式，所以我也会接受 isakmp (IKE v1) 的答案

复制A/etc/iked/local.pub到B/etc/iked/pubkeys/ipv4/10.0.2.10
复制B/etc/iked/local.pub到A/etc/iked/pubkeys/ipv4/10.0.2.11

双方：

echo "ikev2 esp from any to any" > /etc/iked.conf

chmod 640 /etc/iked.conf

echo "ipsec=YES" > /etc/rc.conf.local

echo "iked_flags=" >> /etc/rc.conf.local

检查配置：

/sbin/iked -n
Configuration OK

我对接下来要做什么感到困惑。我想我需要设置/etc/ipsec.conf，但我只找到了 IKEv1 文档。

重新启动了两台机器。没有错误。说 iked 守护进程启动了。如果我将公钥重命名为任何内容，仍然可以互相 ping 通，因此 IPSEC …

我有一个 StrongSwan (IKEv2) 服务器设置，并希望将每个 VPN 连接限制为 512kb/s。

经过研究，我遇到tc了 Ubuntu。我不太明白，正在阅读手册页。

DEV=eth0
tc qdisc del dev $DEV root
tc qdisc add dev $DEV handle 1: root htb default 11
tc qdisc add dev $DEV parent 1:11 handle 11: sfq perturb 60 

我认为这意味着将未分类的流量重新路由到 ID 11，然后每 60 秒将其平衡一次。sqf 还保证请求之间平等数据流的公平性。

队列算法扰动的时间间隔（以秒为单位）。默认为 0，这意味着不会发生扰动。不要为每个扰动设置太低可能会导致某些数据包重新排序或丢失。建议值：60 该值在使用外部流分类时没有影响。最好增加除数值以降低哈希冲突的风险。

我不太确定这两个。在我看来，主要连接将被限制为 512kbps，而未分类的连接将被限制为 128kbps。但我不确定。

tc class add dev $DEV parent 1: classid 1:1 htb rate 512kbps
tc class add dev $DEV parent 1:1 classid 1:11 htb rate 128kbps

最糟糕的是，我不确定每个 VPN 连接是否也符合上述这些规则，或者这些规则是否仅影响 …

我有一个 VPN 网关，它允许远程访问子网为 171.30.0.0/16 的网络。

我有一个带有 ubuntu 14.04 和 strongswan 的本地机器设置，它使用 IKEv2 RSA 连接到该 VPN 服务器，并且在连接时，我能够成功地从我的 ubuntu 机器 ping 我的 VPN 后面的所有主机（例如 171.30.0.200）。VPN 服务器将虚拟 IP 范围 192.168.40.0/24 之外的 IP 分配给客户端。假设我的 ubuntu 机器在连接时收到 IP 192.168.41.1。

http://postimg.org/image/gad07tmez/

在这台 ubuntu 机器上，我安装了 docker，我必须从 docker 映像之一访问 VPN 后面的一台机器（171.30.0.200）。我无法从 docker 容器内部 ping 那个服务器，即使从 docker 主机（这是 ubuntu 机器）ping 成功。有趣的是，从 docker 容器内部 ping 192.168.41.1 是成功的。

知道问题是什么云吗？

我正在 pfSense 2.3-RELEASE 盒中部署一个 IKEv2 VPN，对 RADIUS 服务进行身份验证。但是当 RADIUS 服务器关闭时，我担心这种方法的复杂性。

由于 RADIUS 在 pfSense 盒子后面，如果发生故障，我将失去连接到 IKEv2 VPN 的能力，并且没有任何进入 LAN 的选项。

我可以使用 pfSense 框中的本地用户帐户使用一些后备模式来做一个简单的解决方法，但问题是这种“后备模式”。这甚至存在？

在这种情况下有哪些选择？

我无法让 Strongswan 在我的 Debian 机器上运行。我已经完成了一个教程来让它在 Ubuntu 机器上运行，但我似乎不可能让它在我的 Debian 机器上运行。我实际上做了教程中的所有内容，除了底部带有防火墙的部分，因为我的服务器上没有它。

当我尝试连接到我的服务器时，我收到一条错误消息，指出用户数据错误。我已经创建并安装了三个不同的证书，尝试了不同的用户，但总是收到包含错误用户信息的消息。我究竟做错了什么？

MYIPADDRESS = 我的 Debian 服务器 IP
我创建的每个证书文件都在名称后附加了“-vpn2”。

ipsec 状态全部：

Status of IKE charon daemon (strongSwan 5.5.1, Linux 3.10.0-957.1.3.el7.x86_64, x86_64):
  uptime: 42 seconds, since Sep 23 03:30:26 2019
  malloc: sbrk 2699264, mmap 0, used 455168, free 2244096
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1
  loaded plugins: charon aesni aes rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 …