本文目录一览：

• 1、strong连不上
• 2、如何eclipse运行 strongswan android
• 3、Openswan 和 strongSwan 相比，各有什么特点
• 4、如何安装 strongswan客户端
• 5、strongswan ikev2连接后，如何实现用户名对应分配的ip地址？

strong连不上

关机重启

连不上的解决方案-使用Strongswan和IKEv2协议让安卓设备连接到VPN根据NordVPN客服的建议,现在不在使用NordVPN的安卓应用程序,而是使用一个叫着Strongswan。

如何eclipse运行 strongswan android

1.下载安装CA证书。下载后会弹出窗口，点击确定即可。也可以用其它方式下载到手机里，然后用安卓上的根文件管理器(root explorer)导入

2.添加新的VPN配置。证书导入到系统后，打开strongswan，选择“添加VPN配置”

3.填写配置详情。配置名称自定

4.保存连接。保存回到主界面后，直接点击配置文件即可连接

Openswan 和 strongSwan 相比，各有什么特点

如何使用Strongswan和Freeradius建立IKEv2VPN。目前支持IKEv2strongswan代理软件的客户端貌似只有Openswan/Strongswanstrongswan代理软件，Windowsstrongswan代理软件的话只有Windows7和WindowsServer2008R2完全支持（Vista只支持IKEv1）strongswan代理软件，因而这篇文章主要介绍如何建立Win7客户端能够使用的IKEv

如何安装 strongswan客户端

如何在Ubuntu安装VPN: 1、右键单击“网上邻居”选择“属性”，打开网络连接属性。 2、在右侧的“网络任务”栏中点击“创建一个新的连接。 3、打开新建连接向导，点“下一步”。在 “网络连接属性”选择里，点击“设置高级连接”，点击“下一步”

strongswan ikev2连接后，如何实现用户名对应分配的ip地址？

如何使用Strongswan和Freeradius建立IKEv2 VPN。

目 前支持IKEv2的客户端貌似只有Openswan/Strongswan，Windows的话只有Windows 7和Windows Server 2008 R2完全支持（Vista只支持IKEv1），因而这篇文章主要介绍如何建立Win7客户端能够使用的IKEv2 VPN。

之所 以使用IKEv2而非IKEv1是因为IKEv1目前没有开源的能与Radius连接的插件/客户端，最接近的方案应该是XAuth- PAM+pam_radius。不过pam对于DoS攻击的抵抗很弱，因而不是特别好的一个solution。加上Openswan默认编译是不包含 xauthpam的，在使用二进制包管理的服务器上布置的复杂度会更高。

IKEv2要求服务器必须以证书证明身份，即使客户端采用MSCHAPv2认证（用户名+密码）。所以第一步是产生服务器使用的证书：

ipsec pki --gen --outform pem caKey.pem

ipsec pki --self --in caKey.pem --dn "C=CH, O=strongSwan, CN=strongSwan CA" --ca --outform pem caCert.pem

这一步产生CA证书，也是稍后会安装到客户端里面的证书，其中CN（Common Name）的值很重要，必须是服务器的域名/IP地址并且跟给客户的值一样。比如说让客户连接1.2.3.4，那么CN=1.2.3.4。不能是一边是域名而另外一边是IP地址。

ipsec pki --gen --outform pem serverKey.pem

ipsec pki --pub --in serverKey.pem | ipsec pki --issue --cacert caCert.pem --cakey caKey.pem \

--dn "C=CH, O=strongSwan, CN=vpn.strongswan.org" --flag serverAuth --outform pem serverCert.pem

这一步里面产生的服务器证书的CN值必须和上一步里面的一样，至于--flag serverAuth是Windows客户端必需的，作用是表示出这个证书的用途（认证）。

把生成的证书拷到ipsec.d/里面：

cp caCert.pem /etc/ipsec.d/cacerts/

cp serverCert.pem /etc/ipsec.d/certs

cp serverKey.pem /etc/ipsec.d/private/

最后在/etc/ipsec.secrets里面添加：

: RSA serverKey.pem

这样服务器端的证书准备工作就完成了。

在charon段里面加上：

dns1 = 8.8.8.8

dns2 = 208.67.222.222

然后在plugin段（charon段内部）里面加上：

eap-radius {

servers {

vpnserver {

secret = yourfreeradiussecret

address = radius.server.address

}

}

}

这样让Strongswan了解Radius服务器地址和暗码。

接下来修改/etc/ipsec.conf：

conn IPSec-IKEv2

keyexchange=ikev2

auto=add

left=server.ip.address

leftsubnet=0.0.0.0/0

leftauth=pubkey

leftcert=serverCert.pem

right=%any

rightsourceip=vpn.ip.address.range

rightauth=eap-radius

rightsendcert=never

eap_identity=%any

解 释下上面几项的含义：leftsubnet是决定要通过tunnel的ip的范围，0.0.0.0/0是代表所有的IP通讯都通过VPN。 rightsourceip是VPN分配的虚拟地址的范围，也就是客户端登录后得到的IP范围，例如192.168.1.0/24意味着 192.168.0.1-192.168.1.255为VPN客户端可能的地址范围。rightauth=eap-radius是把客户端的EAP认证请 求转发至radius来处理，%any意味着接受任何类型的eap请求。

配置完成了吗看这样启动后Windows的客户端会提示812错 误，因为Windows默认使用的是EAP-MSCHAPv2，而Freeradius的默认配置是EAP-md5，这可能是Windows的一个 bug，目前我的解决方法是直接把Freeradius的eap.conf里面的default_eap_type修改为mschapv2，如有更好的方 法望不吝告知。

这样就建立了一个IKEv2 IPSec隧道。默认情况下加密方法使用3DES，如有需要的话可以在IPSec的配置段里面加上ike=和esp=来修改加密算法。