[VPN] iPhone使用IKEv2翻牆

Rank: 1

24^#

發表於 2019-9-20 15:41 | 只看該作者

ios 13 用這方法ikev2 不能connect...
但ios12沒有問題

Rank: 1

23^#

發表於 2018-10-20 16:33 | 只看該作者

回復 22# Skypeus

這不要選yes,
也就是l2tp可以開但不要選ipsec加密就好,其他的不影響.

附件: 您需要登錄才可以下載或查看附件。沒有帳號？註冊

Rank: 1

22^#

發表於 2018-10-20 13:51 | 只看該作者

回復 Skypeus
ikev2是用ipsec協定,會用到udp port:500,4500

會無法從public address連接,幾乎很肯定您同 ...
gfx86674 發表於 2018-10-13 12:02

把l2tp關閉,释放UDP Port:500, 4500
是在ROS里面的 /PPP -Interface: L2TP Server Binding [Disabe]吗？
还有其他地方要移除 Port:500, 4500的吗？

Rank: 1

21^#

發表於 2018-10-13 13:18 | 只看該作者

回復 20# gfx86674

哦，原来是ISP作了端口限制了啊。

Rank: 1

20^#

發表於 2018-10-13 12:43 | 只看該作者

回復 gfx86674
把l2tp關閉,ikev2也还是不能从外网的域名连接进来。是不是DDNS花生壳转换不到内网的 ...
Skypeus 發表於 2018-10-13 12:37

端看您isp可否申請將udp port:500,4500映射至您的private address上,
如可問題就排除了;若否不管任何vpn-server都是無解的.

Rank: 1

19^#

發表於 2018-10-13 12:37 | 只看該作者

回復 18# gfx86674

把l2tp關閉,ikev2也还是不能从外网的域名连接进来。是不是DDNS花生壳转换不到内网的IP和端口啊？

在没有公网IP的情况下，还有其他方法可以访问到内网的IKEv2服务端吗？

Rank: 1

18^#

發表於 2018-10-13 12:02 | 只看該作者

回復 17# Skypeus
ikev2是用ipsec協定,會用到udp port:500,4500

會無法從public address連接,幾乎很肯定您同時有開啟l2tp服務.
因為l2tp也會用到ipsec協定(udp port:500,4500),衝突到了.
您只要把l2tp關閉,ikev2隨即能從public address連接.

Rank: 1

17^#

發表於 2018-10-13 11:47 | 只看該作者

[quote]回復 Skypeus
這兩其一您lose了...
gfx86674 發表於 2018-10-13 11:18
嗯，这个可以了。
然后测试了一下，用iphone在内网以IP 192.168.X.X 地址形式可以连接上IKEV2服务端。
但换用DDNS域名 www.xxxxtest.com 这样的形式就连接不上IKEV2服务端了。
请教一下：
IKEV2服务端没有公网IP，我用花生壳映射到了内网IP，端口是443吗？还是用那个端口呢？

Rank: 1

16^#

發表於 2018-10-13 11:18 | 只看該作者

本帖最後由 gfx86674 於 2018-10-13 11:19 編輯

回復 15# Skypeus
這兩其一您lose了...

附件: 您需要登錄才可以下載或查看附件。沒有帳號？註冊

Rank: 1

15^#

發表於 2018-10-13 11:08 | 只看該作者

在设置到：
/ip firewall mangle 新增2筆：
这里出现在下面这个出错，怎么办？

附件: 您需要登錄才可以下載或查看附件。沒有帳號？註冊

Rank: 1

14^#

發表於 2018-3-2 17:16 | 只看該作者

本帖最後由 gfx86674 於 2018-3-2 17:19 編輯

我胡搞把這篇IKEv2製作的憑證拿來對ovpn瞎鬧...結果竟又可以用 [大笑]

憑證有3個分別是ca /server /client
我將ovpn-server先掛上ca ,然後將ca與server匯出:

因windows桌機的openvpn設定檔只需要ca ,所以先試:
連線過程出現這警告:
WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).

client
dev tun
remote 12345678.sn.mynetname.net 1194
proto tcp
auth-user-pass
redirect-gateway
mute-replay-warnings
<ca>
------- ca_code --------
</ca>

複製代碼

但不影響連線,連線成功了

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
再來換iPhone ,ovpn設定檔上傳:

client
dev tun
remote 12345678.sn.mynetname.net 1194
proto tcp
auth-user-pass
redirect-gateway
mute-replay-warnings
<ca>
------- ca_code --------
</ca>
<cert>
----- server_code ------
</cert>

複製代碼

ovpn的連線畫面多出了選擇憑證的欄位,但不理會一樣可以連線.

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
再來...
選擇憑證的欄位我很介意,想說能否利用?
所以我把設定檔憑證的部份全刪就直接套到iPhone裡用

client
dev tun
remote 12345678.sn.mynetname.net 1194
proto tcp
auth-user-pass
redirect-gateway
mute-replay-warnings

複製代碼

選擇已匯入的client憑證,竟也是連上線了

Rank: 1

13^#

發表於 2018-2-23 08:07 | 只看該作者

本帖最後由 gfx86674 於 2018-2-23 20:30 編輯

回復 11# yiucsw
上面說的IKEv2 Server配置即IPSec配置。iPhone預設支援的3種VPN全都與IPSec有關：

L2TP：在加密的IPSec隧道進行L2TP封包交換，間接的替L2TP做了加密動作。

IKEv2：Road Warrior傳輸的憑證認證模式(或稱IKE)。

IPSec：Road Warrior傳輸的帳/密認証模式(或稱Xauth)。
目前Server對iOS支援有局限，只可對classB(192.168.0.0/16)的局部區網做封包交換。
若將傳輸範圍擴展至整個互連網(0.0.0.0/0)，用戶端會不能連線。