我rightsourceip=%dhcp在服务器上使用,所以两个客户端不能有相同的leftid.
在使用之前rightsourceip=%dhcp,我使用uniqueids=never并10.0.2.0/24允许多个客户端使用相同的leftid,但这似乎不起作用rightsourceip=%dhcp(我做错了什么吗?)。
看起来受监督(始终在线)的 iOS VPN 客户端建立了两个关联,一个通过 LTE,一个通过 Wi-Fi……这会中断与 VPN 服务器的连接。猜猜服务器不知道必须将数据包发送到哪个关联......并且一旦 Wi-Fi 启动,iOS 可能不会在两个接口上进行监听。
我怎样才能解决这个问题?还有,什么rekeying disabled意思?
Security Associations (5 up, 0 connecting):
ikev2[7]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...207.46.13.62[[email protected]]
ikev2[7]: IKEv2 SPIs: 0a53e7fec5e65e2b_i 2d03da3fce35f91c_r*, rekeying disabled
ikev2[7]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
ikev2{7}: INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: c468b92b_i 00006960_o
ikev2{7}: AES_GCM_16_256, 8795 bytes_i (22 pkts, 0s ago), 4983 bytes_o (19 pkts, 41s ago), rekeying disabled
ikev2{7}: 0.0.0.0/0 === 10.0.2.13/32
ikev2[6]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...157.55.39.61[[email protected]]
ikev2[6]: IKEv2 SPIs: e2a7434252a49075_i fe57e34b97ba086e_r*, rekeying disabled
ikev2[6]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
ikev2{6}: INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: cdc9dd9c_i 0ec723e6_o
ikev2{6}: AES_GCM_16_256, 8170 bytes_i (122 pkts, 0s ago), 0 bytes_o, rekeying disabled
ikev2{6}: 0.0.0.0/0 === 10.0.2.13/32
如果对等点创建具有相同身份的多个 IKE_SA,并且没有通过唯一性策略阻止,则这需要每个客户端的多个虚拟 IP 才能正常工作(如您所述,服务器只能通过其中一个发送寻址到虚拟 IP 的数据包两条隧道)。
因此,使用 DHCP 或 RADIUS 等后端分配静态租约可能会很棘手,因为它们通常具有身份到 IP 地址的 1:1 映射。根据 DHCP/RADIUS 服务器的实现,可以让它们将多个 IP 分配给相同的身份(例如,通过配置多个静态租约,或通过考虑身份之外的其他参数,请参阅相应的文档)。否则,您必须更改后端服务器的配置(在 DHCP 插件的情况下),以便将动态租约分配给客户端。
在配置中禁用了主动密钥更新(例如通过
rekey=no)。IKE 守护进程仍将响应来自客户端的密钥更新请求。