rightsourceip=%dhcp我在服务器上使用,因此两个客户端不能拥有相同的leftid。
在使用 之前rightsourceip=%dhcp,我使用uniqueids=never和10.0.2.0/24来允许多个客户端使用相同的leftid,但这似乎不起作用rightsourceip=%dhcp(我做错了什么吗?)。
看起来受监督的(始终开启)iOS VPN 客户端建立了两个关联,一个通过 LTE,一个通过 Wi-Fi……这会中断与 VPN 服务器的连接。猜测服务器不知道数据包必须发送到哪个关联……也许一旦 Wi-Fi 开启,iOS 就不会监听两个接口。
我该如何修复这个问题?另外,这是什么rekeying disabled意思?
Security Associations (5 up, 0 connecting):
ikev2[7]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...207.46.13.62[[email protected]]
ikev2[7]: IKEv2 SPIs: 0a53e7fec5e65e2b_i 2d03da3fce35f91c_r*, rekeying disabled
ikev2[7]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
ikev2{7}: INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: c468b92b_i 00006960_o
ikev2{7}: AES_GCM_16_256, 8795 bytes_i (22 pkts, 0s ago), 4983 bytes_o (19 pkts, 41s ago), rekeying disabled
ikev2{7}: 0.0.0.0/0 === 10.0.2.13/32
ikev2[6]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...157.55.39.61[[email protected]]
ikev2[6]: IKEv2 SPIs: e2a7434252a49075_i fe57e34b97ba086e_r*, rekeying disabled
ikev2[6]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
ikev2{6}: INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: cdc9dd9c_i 0ec723e6_o
ikev2{6}: AES_GCM_16_256, 8170 bytes_i (122 pkts, 0s ago), 0 bytes_o, rekeying disabled
ikev2{6}: 0.0.0.0/0 === 10.0.2.13/32
答案1
如果对等方创建具有相同身份的多个 IKE_SA,并且没有通过唯一性策略阻止,则每个客户端需要多个虚拟 IP 才能正常工作(如您所述,服务器只能通过两个隧道之一发送发往虚拟 IP 的数据包)。
因此,使用 DHCP 或 RADIUS 等后端分配静态租约可能会很棘手,因为它们通常具有 1:1 的身份到 IP 地址映射。根据 DHCP/RADIUS 服务器实现,可能允许它们将多个 IP 分配给同一身份(例如,通过配置多个静态租约,或通过考虑身份以外的其他参数,请参阅相应的文档)。否则,您必须更改后端服务器的配置(如果是 DHCP,则更改插件的配置),以便将动态租约分配给客户端。
另外,是什么
rekeying disabled意思?
那积极的在配置中禁用了重新密钥功能(例如通过rekey=no)。IKE 守护进程仍将响应来自客户端的重新密钥请求。