我的 VPN 连接出现了一些问题。首先,我使用的是运行 Android 9 的 Nokia 3.1,并使用 strongswan 进行 IKEv2/EAP 连接。我搜索了 strongswan 网站的前后页面,但未发现与我的问题相关的任何内容。我尝试设置一个帐户来发布问题,但一周以来我的帐户显示“正在等待管理员批准”。我搜索并阅读了有关 IKEv2 连接和相关主题的所有 rfc,并了解了很多相关信息,但没有找到与我的情况相关的内容。我还搜索了我的手机配置文件以查找任何互操作性,但一无所获。strongswan 应用程序显示某些手机不兼容,但没有列出哪些兼容哪些不兼容。所以这也可能是一个问题,但连接已建立,所以我认为不是这个问题。我已经与我的 VPN 进行了交谈,他们不知道发生了什么。所以,
正如我所说,我使用 strongswan 进行 IKEv2/EAP 连接(由于某种原因 IPsec 不可用)。我使用服务器 IP 和我的凭据来启动连接,无法对服务器进行证书验证,因为可用的证书不是 json 文件。我目前正在尝试找到转换文件的方法。但是,它依赖于我的 VPN 提供给我的根证书。我使用 aes256gcm16-prfsha384-ecp384 进行连接加密。我没有将 ca 证书发送到服务器以减少 IKE AUTH 包大小。我没有找到有关那里的问题的任何信息,并且两端都完成了身份验证。我的日志显示我在 NAT 后面,不确定这是否有区别,所以我将 NAT 保持活动设置为 20 秒。我阻止了不用于 VPN 连接的 IPv4 和 IPv6。CHILD SA 连接是使用支持 MOBIKE 的 SPI 建立的。日志显示
EAP_MSCHAPV2 succeeded MSK established/
Auth of EAP successful/
IKE SA established scheduling Rekeying/
Installing new virtual IP/
CHILD SA Android established with SPI and TS/
Setting up TUN device for CHILD SA Android/
Successfully created TUN device/
Peer supports MOBIKE/
问题是它没有建立具有适当配置的连接,大约半小时后我的日志显示:
Creating rekey CHILD SA Android reqid 83/
Create CHILD SA request/
Ignoring KE exchange settled on non PFS proposal/
Inbound CHILD SA established with SPIs/
Outbound CHILD SA established with SPIs and TS/
Sending delete for ESP with CHILD SA and SPI/
Received delete for Child SA/
CHILD SA closed
此后流量停止,由于终止开关,我失去了连接而没有收到通知。几个小时后,每个服务器都会发生这种情况。新服务器可以正常工作,但三个小时后就会发生这种情况,并且在重新连接后每半小时继续发生一次。发生了什么事?我做错了什么?我试图传达所有信息,但还有很多,如果我遗漏了什么或者你需要一些具体的东西,请告诉我。我花了大约三个星期试图弄清楚这一点,之前对网络一无所知。所以如果我做错了什么或误解了什么,请原谅我。感谢您的时间和潜在的帮助。
编辑1
可用的开放配置区域如下:
•客户端身份 •DNS 服务器 •VPN 隧道设备的 MTU •服务器端口 •NAT-T 保持活动(设置为 20 否则连接丢失) •IKEv2 算法 •IPsec/ESP 算法 •自定义子网 •排除子网
可用的开启/关闭选项有:•发送所有证书请求(关闭以减少数据包大小)•使用 OCSP 检查证书(开启)•使用 CRL 检查证书(开启)•在检查时使用严格撤销(关闭)•使用 RSA/PSS 签名(开启)
根据 Nord 网站,可用的连接应该是 IKEv2/IPsec 配置,但 strongswan 下拉菜单中唯一可用的选项是:
•IKEv2 EAP(当前选定) •IKEv2 证书 •IKEv2 证书 +EAP •IKEv2 EAP-TLS •IKEv2 EAP-TNC
不过,这些只是客户端授权。这是 IPsec 算法配置行发挥作用的地方吗?它不是默认的吗?该应用程序的 strongswan 文档指出,“IPsec 默认提案仅限于具有 SHA1/SHA2 数据完整性的 AES 加密或 AES-GCM 身份验证加密。使用 PFS 和多个提议的 ECP/MODP DH 组之一。还支持 ChaCha20/Poly1305。还可以配置自定义 ESP 提案。”
我已将所有流量路由到 VPN。我已阻止所有不发往 VPN 的 IPv4 和 IPv6。我甚至更改了 APN 并停止了所有 IPv6 流量。这真是一段艰难的旅程。