@Vicer 没问题， 我上面写上是备注， 提醒我自己下次把它看清楚。

------------
@wusiye1986
过两天写个iOS8，DO的VPS，centos7 x64的 IKEv2。手上有DO.

ipsec.secrets只会有一个。
: RSA server.pem
: PSK "PSK password"
IKEv1name : XAUTH "user password"
IKEv2name : EAP "user password"

https://zh.opensuse.org/SDB:Setup_Ipsec_VPN_with_Strongswan
这篇里，iOS是使用IKEv1, ipsec.secrets 里对应 [ IKEv1用户名， XAUTH ]
你先前的问题在这里吧。没有XAUTH

conn iOS_cert 这种是pubkey认证（证书）
keyexchange=ikev1
# strongswan version >= 5.0.2, compatible with iOS 6.0,6.0.1
fragmentation=yes
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=pubkey
rightauth2=xauth
rightsourceip=10.0.0.0/24
rightcert=client.cert.pem
auto=add

# also supports iOS PSK and Shrew on Windows
#这种是PSK认证 (PSK密码)
conn android_xauth_psk
keyexchange=ikev1
left=%defaultroute
leftauth=psk
leftsubnet=0.0.0.0/0
right=%any
rightauth=psk
rightauth2=xauth
rightsourceip=10.0.0.0/24
auto=add

@Vicer 安装完毕，x64 也遇到你的问题了。sysctl -p 出现

net.netfilter.nf_conntrack_max = 32768
sysctl: permission denied on key 'net.nf_conntrack_max'

的提示。net.ipv4.ip_forward=1 也没有写入 /etc/sysctl.conf

------重新软链接解决
rm -f /sbin/sysctl
ln -s /bin/true /sbin/sysctl

然后手动把#net.ipv4.ip_forward=1的#号去掉，

sysctl -p
ipsec restart

就正常了。

问题出在哪我还真不知道。 多谢你的反馈。
自己装和帮别人装都没遇到过，512M那款。

------
bandwagonhost 系统升级遇到两个提示：
The default action is to keep your current version.
什么什么 (Y/I/N/O/D/Z) [default=N] ?

没注意看，直接default了，下次注意

@Vicer 留你邮箱，我联系你。

@wusiye1986 ROS没玩过，

“ios则一直提示鉴权失败，IOS8，DO的VPS，centos7 x64”

这帖子里没它的脚本， 需要的话我再誊抄一份。

AWS 的 centos7 x64 脚本里 ipsec.conf 只配置了黑莓的。

http://v2ex.com/t/137653 是 IOS8 的 IKEv2 ， 比 IKEv1 好多了。

@Luzifer CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (x / 32) 备注mark

@Vicer 好像是要优化 netfilter ， 搜了一下。

一個32位的帶512M內存的PC在默認情況下能夠處理512*1024^2/16384 = 512*64 = 32768個並發的netfilter連接。

http://5beta.com/linux/centos-sysctl-p-error.html 他和你问题一样。

你还是换64位看看。

悟空有点忙。

还有个悟空理财。

@Vicer 我不知道你 #28 楼的问题怎么解决。

@Vicer 你是不是用的精简版? ubuntu 14.04 - minimal

改下
net.netfilter.nf_conntrack_max = 65536

不行就直接换系统。不用精简版。

PS：导入 WP8.1 的是 CACert.pem， 不是 CAKey.pem。 用 ClientCert.P12 应该也可以。

-----------
另外问下： windows phone 你个人感觉有什么坑？ 想收个1020。

用putty搞。

我不知道怎么用， 证书怎么下载下来我不知道。

http://blog.csdn.net/deaboway/article/details/6567502

第三条附言命令是 linux 终端的， 就不要照搬了。

@Vicer

@Vicer 前面的证书没生成成功， 这条肯定是不会过。

你按第三条附言脚本安装也没安装成功？ 能不能截个图（在错误那里）。

我也不知道问题出在哪了。 估计你第一条证书都没通过。 是不是缺少 pki ，或者pki 报错？
ipsec pki --gen --type rsa --size 4096 --outform pem > /etc/ipsec.d/private/CAKey.pem

ipsec pki --self --ca --lifetime 3650 --in /etc/ipsec.d/private/CAKey.pem --type rsa --dn "C=CH, O=strongSwan, CN=strongSwan Root CA" --outform pem > /etc/ipsec.d/cacerts/CACert.pem

ipsec pki --print --in /etc/ipsec.d/cacerts/CACert.pem
从第一条证书检查证书生成成功没, 结果类似：

cert: X509
subject: "C=CH, O=strongSwan, CN=strongSwan Root CA"
issuer: "C=CH, O=strongSwan, CN=strongSwan Root CA"
validity: not before Nov 28 10:23:37 2014, ok
not after Nov 26 10:23:37 2024, ok (expires in 3649 days)
serial: 54:27:71:df:b0:e8:20:08
flags: CA CRLSign self-signed
authkeyId: 43:20:17:fa:b4:0f:0d:0c:e3:51:b5:71:31:ab:d8:24:3a:20:5c:c0
subjkeyId: 43:20:17:fa:b4:0f:0d:0c:e3:51:b5:71:31:ab:d8:24:3a:20:5c:c0
pubkey: RSA 4096 bits
keyid: bc:34:87:35:12:34:b5:13:69:5e:47:55:16:c7:04:3f:50:ac:23:e9
subjkey: 43:20:17:fa:b4:0f:0d:0c:e3:51:b5:71:31:ab:d8:24:3a:20:5c:c0

---------还有可能：

./configure --prefix=/usr --sysconfdir=/etc --disable-gmp --disable-aes --disable-md5 --disable-sha1 --disable-sha2 --disable-fips-prf --enable-curl --enable-openssl --enable-eap-identity --enable-eap-dynamic --enable-eap-md5 --enable-eap-mschapv2 --enable-eap-tls --enable-eap-ttls --disable-des --enable-eap-radius --enable-kernel-libipsec

编译配置把反斜杠去了。 怕你在这里出错。


直接按第三条附言脚本安装， 出错截图。

@Vicer 哦哦 哦。 按我的第三条附言应该是没有问题的，root权限， 我都帮人装了好几个了。

你是把sh脚本打开了，然后又手动一步一步安装的话， 那需要注意变量，

生成证书那一段命令里的 变量 都替换成你自己的了没？

$serverip 换成你的服务器ip
$password 换成你的密码。

-----------------
看问题，不能读取证书，像是权限问题， 但是你又补了 “往往在最后一步生成P12证书的时候报错。” ，恰好生成p12那句里有个 $password 变量。

你再仔细检查下， 脚本是没问题。第三条附言是没错的。

@Vicer

WP8.1 这里有个教程，
http://www.wpapps.com.cn/skill/1150.html
这个教程里是导入CA证书，在我的脚本里是 CACert.pem

@Vicer 你的问题是什么？

服务器端还是客户端？

不能再如证书---不能载入证书？



如果是问 ubuntu 14.04 客户端：

--------安装客户端--------

https://wiki.strongswan.org/projects/strongswan/wiki/NetworkManager

我是Ubuntu 14.04 TLS x64
它自带的 network-manager-strongswan 包，我使用是有问题，
连接的时候提示什么错误。

后来按wiki自己下载编译安装的。正常。

eap 和 cert 两种方式都是可以的。

--------客户端配置问题--------

如果连接成功，但是网页打不开。检查是否是路由问题。

VPN连接 ---》配置VPN ---》你的IKEv2 ---》编辑 ---》IPv4设置 ---》勾选 忽略自动获取的路由

配置VPN的几个选项：

Request an inner IP address
这个我勾了。

Enforce UDP encapsulation
这个没有勾，看wiki是勾了， 没不良反应，哈。

Use IP compression
这个没有勾。


--------------------------------------
如果是问 ubuntu 14.04 服务端：

是用这帖子第三条附言安装的吗？ 不能载入证书是什么意思， 证书是生成安装。
是不能生成证书？ 缺少pki ？？

你是参照别人的教程安装的吧， OpenVZ 安装 Strongswan ，编译配置选项要添加 --enable-kernel-libipsec


๏̯͡๏ 既然你是搬瓦工的VPS， 第三条附言就是为你准备的。

问题说清楚，别人才能回答明确。

@BGLL 你又有得玩了。

楼主，你过来，我保证不打你！

http://ww3.sinaimg.cn/mw1024/9e87c083jw1enzyrhliprj20c80iyq5h.jpg
http://ww4.sinaimg.cn/mw1024/9e87c083jw1enzyrhs9pcj20c80ixgnn.jpg
http://ww4.sinaimg.cn/mw1024/9e87c083jw1enzyrigoscj20c80ixwgs.jpg
http://ww2.sinaimg.cn/mw1024/9e87c083jw1enzyri699sj20c80iqq5a.jpg
http://ww1.sinaimg.cn/mw1024/9e87c083jw1enzyriujgtj20c80irtbf.jpg
http://ww2.sinaimg.cn/mw1024/9e87c083jw1enzyrjjrigj20c80iwjto.jpg
http://ww4.sinaimg.cn/mw1024/9e87c083jw1enzyrk6837j20c80iuq4x.jpg
http://ww2.sinaimg.cn/mw1024/9e87c083jw1enzyrk1bq7j20c80iujtr.jpg
http://ww1.sinaimg.cn/mw1024/9e87c083jw1enzyrl3csfj20c80itgns.jpg

来源：网易娱乐
作者：张严铭