strongswan 搭建ikev1 for Android and iOS

conn android_xauth_pskkeyexchange=ikev1fragmentation=yeskeyingtries=3left=%defaultrouteleftauth=pskright=%anyrightsourceip = %configrightsubnet=0.0.0.0/0rightauth=pskrightauth2=xauthauto=add

说明：

Conn位于配置文件的全局区，后面紧紧跟的是该VPN服务器的

名称

keyexchange=ikev1:指定使用的密钥交换协议是ikev1

left=%defaultroute:远端vpn服务器的ip地址是任意的

leftauth=psk :表示远程服务器数据加密的方式是预共享密钥

right=psk 表示本地客户端的数据加密方式的预共享密钥

right=%any:表示客户端的ip地址是任意的

rightsourceip=%config：为客户端分配ip地址池，%config表示是ipv4的任意地址

rightsubnet=0.0.0.0/0：表示客客户端的子网是任意的

rightauth2=xauth：表示客户端的用户认证方式是XAUTH

fragmentation=yes：开启对 iOS 拆包的重组支持。

auto 定义 strongswan 启动时该连接的行为start是启动; route 是添加路由表，有数据通过就启动; add是添加连接类型但不启动; ignore 是当它不存在。默认是 ignore。看起来似乎是 route比较好，但问题是我们服务器端不能预分配虚拟 IP，所以服务器端一般用的都是 add。而客户端文本配置可以选择 start。

2）配置strongswa.conf

charon {load_modular = yesduplicheck.enable = nocompress = yesdns1 = 8.8.8.8dns2 = 8.8.4.4filelog {/var/log/strongswan.charon.log {time_format = %b %e %Tdefault = 2append = noflush_line = yes}
}

说明：其他的保持不变

从strongswan5以后，无论是ikev1还是ikev2协议都使用ike2的daemon：charon来实现

duplicheck.enable = no：是为了同时连接多个设备，所以要把冗余检查关闭

 /var/log/strongswan.charon.log配置的strongswan的日志的格式

 default = 2：定义的是日志的级别，默认日志级别为：-1,0,1,2,3,4，-1是完全没有日志，0只告诉你建立连接，连接关闭；1只输出错误提示，2会输出错误，警告和调试信息；3会把连接传输的数据也打印；4则会把密钥内容这些敏感数据也打印。一般情况下，1或2都可以

append = no：是相当你重启strogswan后，是按上次日志写，还是新建一个日志（上次的会删除）。因为strogswan的日志太多了，所以用no 

flush_line = yes：是每产生一行日志，就写入到磁盘一次，防止突然断电，磁盘缓存数据丢失。

3)修改ipse.secrets配置文件

该文件主要保存的客户端和服务器之间的数据加密方式及用户的信息

:   PSK  0sZ3l0MTIzNDU2

jianq : XAUTH "gyt123456"

说明：PSK即为共享密钥，其数据格式为0s+base64编码的数据，

  XAUTH左右两端的分别为用户名和用户登录密码（字符串）

修改/etc/strongswwan.d/Charon-logging.cong配置文件：

该文件主要是用于控制输出的调试信息

在filelog作用域加上如下内容：

 append=no
default=2
flush_line = yes
ike_name=yestime_format = %b %e %Tstderr {ike =2knl=3}

charon {# Section to define file loggers, see LOGGER CONFIGURATION in# strongswan.conf(5).filelog {# <filename> is the full path to the log file.# <filename> {# Loglevel for a specific subsystem.# <subsystem> = <default># If this option is enabled log entries are appended to the existing# file.append = yes# Default loglevel.default = 1# Enabling this option disables block buffering and enables line# buffering.# flush_line = noflush_line=yes# Prefix each log entry with the connection name and a unique# numerical identifier for each IKE_SA.# ike_name = noike_name=yes# Prefix each log entry with a timestamp. The option accepts a# format string as passed to strftime(3).# time_format =time_format=%b %e %T# }}# Section to define syslog loggers, see LOGGER CONFIGURATION in# strongswan.conf(5).syslog {# Identifier for use with openlog(3).# identifier =# <facility> is one of the supported syslog facilities, see LOGGER# CONFIGURATION in strongswan.conf(5).# <facility> {# Loglevel for a specific subsystem.# <subsystem> = <default># Default loglevel.# default = 1default=1# Prefix each log entry with the connection name and a unique# numerical identifier for each IKE_SA.# ike_name = noike_name=yes# }}

sudo iptables -A INPUT -p udp --dport 500 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 4500 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
sudo echo 1 > /proc/sys/net/ipv4/ip_forward