问题[ios](server)

我编写了一个使用 TCP 双向传输数据的 API。在我的本地设置中，它运行良好。但是当我转到生产环境时，它从未到达端点。

生产服务器使用 ELB 对 EC2 实例进行负载平衡，并且全部由 cloud flare 负责。

一开始，我甚至看不到它命中了 NGINX 日志，所以我绕过 CloudFlare 并直接命中 EC2 IP 地址。这确实导致尝试显示在访问日志中，但它们都立即像这样 499。

[16/Sep/2024:03:13:50 +0000] “POST /api/user_sync HTTP/1.1” 499 0 “-” “MYAPP/1.0.6 CFNetwork/1494.0.7 Darwin/23.6.0”

499 似乎表示客户端中止了连接，但我可以在应用程序中看到，直到客户端超时，与服务器的连接才会关闭。但 499 会立即出现在 NGINX 访问日志中。所以就像它立即将其关闭一样。

不幸的是，我对 NGINX、负载平衡或网站没有太多经验，因此任何帮助都将不胜感激。

我确实发现一些帖子中其他用户也遇到了类似的问题，但对于他们来说，499 要么在每次 API 调用时发生，要么在很长一段时间后发生。然而，这种情况每次都会发生，并且只发生在这个特定的端点上。

我创建了一个由私人根 CA 颁发的证书，以便我可以自动信任组织内部的自签名证书。

我采取的步骤在 Windows 上可以正确处理并自动信任，但在 iOS 上失败。

我生成的根证书的属性是：

Validity: 2024-06-06 thru 2124-05-31
Public Key: RSA, 4096bits
Signature algorithm: SHA-256 with RSA Encryption
Certificate version: 3
Certificate Authority: Yes
Path length: 2
Key Usages: Certificate Signing

生成的服务器证书的属性为：

Common name: <fqdn>
Validity: 2024-06-06 thru 2124-05-31 (100 years)
Subject alt names: <short name>, <fqdn>, <fixed IP address of server>
Public Key: RSA, 4096bits
Signature algorithm: SHA-256 with RSA Encryption
Certificate version: 3
Certificate Authority: No
Path length: 1
Key Usages: Digital Signature, Key Encipherment
Extended Usages: Server Authentication, Client Authentication
Certificate Policies: Certificate Type (2.23.140.1.2.1) [= Domain Validation]

我使用 OpenSSL 创建了所有密钥和证书，并在颁发之前使用 OpenSSL 验证了内容。我在 iOS 上安装根证书的步骤如下：

1. 生成私钥
2. 创建根证书（文件ca.pem）
3. ca.pem在 iOS 设备上下载
4. 在 iOS 设备上打开下载的文件
5. Settings在 iOS 设备上打开
6. 选择Downloaded profile（或类似名称，适用于设置为荷兰语的设备）
7. 选择Install
8. 打开Settings -> General -> Info
9. 向下滚动并选择Trust certificates
10. 启用新安装的配置文件

当我转到 时Settings -> General -> VPN and device，我可以看到新安装的配置文件，当我单击该配置文件时，我会看到权限已经验证。

然后我按照以下步骤创建一个新的服务器证书：

1. 在服务器上创建 CSR
2. server.pem使用服务器 CSR签署服务器证书
3. server.pem在服务器上安装证书

现在，当我在 Windows 服务器上打开网页时（我也安装了根证书），浏览器（Firefox 和 Edge）不会警告我有关不受信任的证书，并且会直接显示请求的网页。

然而在 iOS 上，Safari 会抱怨请求的网页不安全。

是不是我生成的证书的属性不正确？

作为参考，我还包括了使用 OpenSSL 生成密钥和证书的命令（其中pass.txt包含用于保护证书的密码）：

openssl genpkey -algorithm RSA -pass file:pass.txt -out ca-key.pem -pkeyopt rsa_keygen_bits:4096 -aes256
openssl genrsa -aes256 -passout file:pass.txt -out ca-key.pem 4096
openssl rsa -in ca-key.pem -check -noout -passin file:pass.txt
openssl req -new -x509 -sha256 -days 36500 -config ca_config.txt -passin file:pass.txt -key ca-key.pem -out ca.pem
openssl x509 -req -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server.pem -days 36500 -sha256 -extfile server_config.txt -passin file:pass.txt

我正在尝试在Network Engineering Stack Exchange上获得一些帮助，但他们真的想责怪浏览器（请参阅那里的评论）。我正在寻找一个不修改浏览器设置的修复程序（尽管我愿意修改它们以确定问题）并且仍然允许使用自签名证书。我在其他服务器上与 Firefox 一起使用了许多自签名证书，并且很清楚 Firefox 如何处理自签名证书错误，这不是一回事，Cisco 路由器不喜欢 TLS 连接的其他事情Firefox 提出的选项。

无论如何...我有一个运行 IOS XE 版本 16.09.04 的 Cisco ISR4331/K9，我已经配置了主机名、域名和生成的 2048 位 RSA 密钥，我还验证了时钟设置是否正确。

配置后ip http secure-server，我尝试从运行 Firefox 83.0 的 PC 访问路由器

当 HTTP 访问正常时，HTTPS 在 Firefox 中遇到错误“SSL_ERROR_NO_CYPHER_OVERLAP”。然而sh ip http server secure status返回：

HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite:  3des-ede-cbc-sha aes-128-cbc-sha
        aes-256-cbc-sha dhe-aes-128-cbc-sha ecdhe-rsa-3des-ede-cbc-sha
        rsa-aes-cbc-sha2 rsa-aes-gcm-sha2 dhe-aes-cbc-sha2 dhe-aes-gcm-sha2
        ecdhe-rsa-aes-cbc-sha2 ecdhe-rsa-aes-gcm-sha2 ecdhe-ecdsa-aes-gcm-sha2
HTTP secure server TLS version:  TLSv1.2 TLSv1.1
HTTP secure server client authentication: Disabled
HTTP secure server PIV authentication: Disabled
HTTP secure server trustpoint: 
HTTP secure server peer validation trustpoint: 
HTTP secure server ECDHE curve: secp256r1
HTTP secure server active session modules: ALL

这似乎是一个完全可以接受的 Firefox 密码套件列表。

在 Wireshak 中查看时，路由器似乎在来自客户端的 TLSv1.2 Hello 消息之后立即向浏览器返回 TLSv1.2 致命握手错误消息。

debug ip http all在此握手期间，我在使用的路由器上根本没有收到任何消息。

知道我在这里想念什么吗？

请注意，这是我用于复制/调试此问题的实验室路由器，因此缺少大多数配置。路由器配置：

routertest#sh run
Building configuration...


Current configuration : 1787 bytes
!
! Last configuration change at 18:22:01 UTC Fri Jan 29 2021
!
version 16.9
service timestamps debug datetime msec
service timestamps log datetime msec
platform qfp utilization monitor load 80
no platform punt-keepalive disable-kernel-core
!
hostname routertest
!
boot-start-marker
boot-end-marker
!
!
vrf definition Mgmt-intf
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
 exit-address-family
!
!
no aaa new-model
!
no ip domain lookup
ip domain name test.com
!
!
!
login on-success log
!
!
!
!
!
!
!
subscriber templating
! 
! 
! 
! 
!         
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-886488406
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-886488406
 revocation-check none
 rsakeypair TP-self-signed-886488406
!
!
crypto pki certificate chain TP-self-signed-886488406
!
license udi pid ISR4331/K9 sn FDO19370HXL
license boot level securityk9
no license smart enable
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
!
!
!         
redundancy
 mode none
!
!
!
!
!
!
! 
!
!
!
!
!
!
!
!
!
!
! 
! 
!
!         
interface GigabitEthernet0/0/0
 no ip address
 shutdown
 negotiation auto
!
interface GigabitEthernet0/0/1
 ip address 10.30.0.1 255.255.255.0
 negotiation auto
!
interface GigabitEthernet0/0/2
 no ip address
 shutdown
 negotiation auto
!
interface Serial0/1/0
 no ip address
!
interface Serial0/1/1
 no ip address
!
interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 no ip address
 shutdown
 negotiation auto
!
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip tftp source-interface GigabitEthernet0
!
!
!
!
!
!
control-plane
!
!
line con 0
 logging synchronous
 transport input none
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 login
!
!
!
!
!
!
end

整个错误

被误导的请求

客户端需要为此请求建立新连接，因为请求的主机名与用于此连接的服务器名称指示 (SNI) 不匹配。

stories.therelevancehouse.com 上的 Apache 服务器端口 443

我有一个与我公司网站https://www.therelevancehouse.com/链接的博客页面。当我尝试使用标题导航“STORIES”按钮从该页面转到https://stories.therelevancehouse.com/时，它显示了上述错误。但是，如果我刷新页面，它就会起作用。此外，当我直接打开https://stories.therelevancehouse.com/并尝试通过单击左上角的徽标返回主页时，它会显示相同的错误。

我rightsourceip=%dhcp在服务器上使用，所以两个客户端不能有相同的leftid.

在使用之前rightsourceip=%dhcp，我使用uniqueids=never并10.0.2.0/24允许多个客户端使用相同的leftid，但这似乎不起作用rightsourceip=%dhcp（我做错了什么吗？）。

看起来受监督（始终在线）的 iOS VPN 客户端建立了两个关联，一个通过 LTE，一个通过 Wi-Fi……这会中断与 VPN 服务器的连接。猜猜服务器不知道必须将数据包发送到哪个关联......并且一旦 Wi-Fi 启动，iOS 可能不会在两个接口上进行监听。

我怎样才能解决这个问题？还有，什么rekeying disabled意思？

Security Associations (5 up, 0 connecting):
       ikev2[7]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...207.46.13.62[[email protected]]
       ikev2[7]: IKEv2 SPIs: 0a53e7fec5e65e2b_i 2d03da3fce35f91c_r*, rekeying disabled
       ikev2[7]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
       ikev2{7}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: c468b92b_i 00006960_o
       ikev2{7}:  AES_GCM_16_256, 8795 bytes_i (22 pkts, 0s ago), 4983 bytes_o (19 pkts, 41s ago), rekeying disabled
       ikev2{7}:   0.0.0.0/0 === 10.0.2.13/32
       ikev2[6]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...157.55.39.61[[email protected]]
       ikev2[6]: IKEv2 SPIs: e2a7434252a49075_i fe57e34b97ba086e_r*, rekeying disabled
       ikev2[6]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
       ikev2{6}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: cdc9dd9c_i 0ec723e6_o
       ikev2{6}:  AES_GCM_16_256, 8170 bytes_i (122 pkts, 0s ago), 0 bytes_o, rekeying disabled
       ikev2{6}:   0.0.0.0/0 === 10.0.2.13/32

我已经研究了一段时间，但我在任何地方都找不到解释（我能找到的最接近的是维基百科和cisco）开关是 2960s，我需要堆叠到 2960x（所以我需要确切的 ios 版本），我可以为 2960S 15.0.2-EX5(ED)和15.0.2-SE10a(MD)下载这两个版本

基本上它似乎是这样说的：

• S整合主线、E、其他S，支持高端骨干路由器，修复缺陷。
• E针对企业核心和 SP 边缘，支持高级 QoS、语音、安全和防火墙以及修复

但是 SE 是什么意思？是S和E的混合体？EX中的X是什么意思？

**更新：**正如@hertitu 在评论中所说，发布指定代码（在此处列出）也很重要，MD（维护部署）意味着软件比 ED 版本（早期部署）更稳定

我有 nginx+letsencrypt ssl 证书，它适用于除带有 Safari 的新 iOS 之外的所有设备。它在 iPhone 4 上运行良好，但在 iPhone 5 和更新版本上却不行。

我在 nginx 日志中看到多个请求：

IPADDRESS - - [03/Dec/2016:10:08:08 +0000] "GET / HTTP/2.0" 200 5999 "REFERER" "Mozilla/5.0 (iPhone; CPU iPhone OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"
IPADDRESS - - [03/Dec/2016:10:08:08 +0000] "GET / HTTP/2.0" 200 5999 "REFERER" "Mozilla/5.0 (iPhone; CPU iPhone OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"
IPADDRESS - - [03/Dec/2016:10:08:08 +0000] "GET / HTTP/2.0" 200 5998 "REFERER" "Mozilla/5.0 (iPhone; CPU iPhone OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"
IPADDRESS - - [03/Dec/2016:10:08:08 +0000] "GET / HTTP/2.0" 200 5999 "REFERER" "Mozilla/5.0 (iPhone; CPU iPhone OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"
IPADDRESS - - [03/Dec/2016:10:08:08 +0000] "GET / HTTP/2.0" 200 5998 "REFERER" "Mozilla/5.0 (iPhone; CPU iPhone OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"
IPADDRESS - - [03/Dec/2016:10:08:08 +0000] "GET / HTTP/2.0" 200 5998 "REFERER" "Mozilla/5.0 (iPhone; CPU iPhone OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"
IPADDRESS - - [03/Dec/2016:10:08:08 +0000] "GET / HTTP/2.0" 200 5998 "REFERER" "Mozilla/5.0 (iPhone; CPU iPhone OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"
...
and ends with 499 code
IPADDRESS - - [03/Dec/2016:10:08:08 +0000] "GET / HTTP/2.0" 499 5998 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"

和 Safari 浏览器中的空白页面。

HTTP 部分 ngixn 配置：

##
# SSL Settings
##

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA";
ssl_dhparam /etc/nginx/ssl/dhparams.pem;

ssl_session_cache shared:SSL:5m;
ssl_session_timeout 1h;

域的 SERVER 部分：

listen 443 ssl http2;

ssl_certificate         /etc/letsencrypt/live/domain.com/fullchain.pem;
ssl_trusted_certificate /etc/letsencrypt/live/domain.com/chain.pem;
ssl_certificate_key     /etc/letsencrypt/live/domain.com/privkey.pem;

location / {
    proxy_pass          http://localhost:40011/;
    proxy_set_header    Host $http_host;
    proxy_set_header    X-Real-IP $remote_addr;
    proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header    X-Forwarded-Proto $scheme;
}

Nginx 与 Apache 2.4.23 一起使用

<VirtualHost localhost:40011>
Protocols h2 http/1.1

AddDefaultCharset UTF-8

ServerName localhost

ServerAdmin [email protected]
DocumentRoot /var/www/domain.com/public
DirectoryIndex index.php

SetEnvIf X-Forwarded-Proto https HTTPS=on

<Directory /var/www/domain.com/public>
    Order Allow,Deny
    Allow From All
    AllowOverride None
    Options FollowSymLinks
</Directory>

</VirtualHost>

Apache 日志包含相同的请求：

127.0.0.1 - - [05/Dec/2016:14:36:00 +0000] "GET / HTTP/1.0" 200 6122 "-" "Mozilla/5.0 (iPhone; CPU OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"
::1 - - [05/Dec/2016:14:36:00 +0000] "GET / HTTP/1.0" 200 6122 "-" "Mozilla/5.0 (iPhone; CPU OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"
127.0.0.1 - - [05/Dec/2016:14:36:00 +0000] "GET / HTTP/1.0" 200 6122 "-" "Mozilla/5.0 (iPhone; CPU OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"
::1 - - [05/Dec/2016:14:36:00 +0000] "GET / HTTP/1.0" 200 6121 "-" "Mozilla/5.0 (iPhone; CPU OS 10_1_1 like Mac OS X) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0 Mobile/14B100 Safari/602.1"

...在 Safari 中仍然是空白页。

我正在尝试设置 LAN 到 LAN IPsec 隧道，并且在一个端点我有一个运行 IOS 12.3(8)YI2 的旧 CISCO 871W。命令“隧道模式 ipsec ipv4”不起作用：

router#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface tunnel 1
router(config-if)#tunnel mode ipsec ipv4
                                   ^
% Invalid input detected at '^' marker.

router(config-if)#tunnel mode ?
  aurp    AURP TunnelTalk AppleTalk encapsulation
  cayman  Cayman TunnelTalk AppleTalk encapsulation
  dvmrp   DVMRP multicast tunnel
  eon     EON compatible CLNS tunnel
  gre     generic route encapsulation protocol
  ipip    IP over IP encapsulation
  iptalk  Apple IPTalk encapsulation
  nos     IP over IP encapsulation (KA9Q/NOS compatible)

任何想法为什么？谢谢！

在 Google、Serverfault 甚至 StrongSwan 网站上搜索了很多天后，我试图让 StrongSwan IPSec/IKEv2 VPN 在 OS X 10.11.5 和 iOS 10 上运行都没有成功。我非常成功地得到它在 Windows 10 Pro Insider Preview 和 Android 上工作——这两者都与我只有 Mac 笔记本和 iOS 10 设备的旅行安排无关。

我设置了两台 StrongSwan VPN 服务器——一台在伦敦，一台在旧金山，两者的配置几乎相同。

遵循https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html我能够快速设置两个服务器并为 Windows 10 Pro Insider Preview 和 Android 颁发单个客户端证书。但是，当我将两台服务器的 p12 复制到 OS X 和 iOS 以创建 VPN 时，我遇到的问题是我没有得到其他两个操作系统的内容。

我似乎可以找到关于什么是“ Remote ID”和“ ”的明确答案，Local ID这与我建立与 SwanStrong VPN 服务器的基于证书的身份验证连接有何关系？

从我所能找到的一点点中，我学到了以下几点：

• Local ID必须与证书中指定的CNor匹配SAN（即[email protected]）
• Remote IDOS X 和 iOS 都需要，但我不知道在这个输入字段中输入什么
• 与通过加密无缝连接的 Windows 和 Android 不同，OS X 和 iOS 都卡在“正在连接”或将快速循环到永久“断开连接”

这是 StrongSwan 服务器配置之一（我一直在测试的那个）：

# ipsec.conf - strongSwan IPsec configuration file

config setup
    charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"

conn %default
    keyexchange=ikev2
    ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-s$
    esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128$
    dpdaction=clear
    dpddelay=300s
    authby=pubkey
    left=%any
    leftid=subdomain5.subdomain4.subdomain3.subdomain2.subdomain.domain.net
    leftsubnet=0.0.0.0/0
    leftcert=vpnHostCert.der
    leftsendcert=always
    right=%any
    rightsourceip=172.11.22.0/24,2002:25f7:7489:3::/112
    rightdns=8.8.8.8,2001:4860:4860::8888

conn IPSec-IKEv2
    keyexchange=ikev2
    auto=add

如何使用 Windows 和 Android 使用的相同证书在 OS X 10.11.5 和 iOS 10 上正确配置 VPN 隧道？

我试图弄清楚是否可以通过配置文件管理器将“受信任的计算机”列表推送到 iOS 设备。这是为了避免在连接到此列表中的计算机时出现烦人的“信任这台计算机？”对话框。

那么有可能做这样的事情吗？