iOS 8 支持 Always On 和 IKE2 VPN 了
cattyhouse · 2014-09-16 18:27:41 +08:00 via iPhone · 23133 次点击这是一个创建于 3703 天前的主题,其中的信息可能已经有所发展或是发生改变。
有人尝试过部署吗?求分享,Anyconnect固然好,但在iOS8速度始终只有 2Mbps左右,上不去。
第 1 条附言 · 2014-09-16 20:13:07 +08:00
说明: 如果配置出来了,iOS以后就不需要频繁手动打开VPN了,无论网络怎么样,VPN总是on,不会掉线了。
这哥们写了一半,只写了服务端的设置,iOS的Profile部分他还没写。
https://atix.co/?p=12
至于iOS端的配置文件如何写,Apple官方有最新的说明,苦于我看不懂XML写法,写不出来,求高手。大家一起研究下吗。
https://developer.apple.com/library/prerelease/ios/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html#//apple_ref/doc/uid/TP40010206-CH1-SW612
这哥们写了一半,只写了服务端的设置,iOS的Profile部分他还没写。
https://atix.co/?p=12
至于iOS端的配置文件如何写,Apple官方有最新的说明,苦于我看不懂XML写法,写不出来,求高手。大家一起研究下吗。
https://developer.apple.com/library/prerelease/ios/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html#//apple_ref/doc/uid/TP40010206-CH1-SW612
第 2 条附言 · 2014-09-16 22:07:03 +08:00
悲剧了,不折腾了,Always On VPN只能用在被监督的设备上。。。
第 3 条附言 · 2014-09-16 22:23:38 +08:00
新版的Apple Configurator无法装在OSX 10.9上
第 4 条附言 · 2014-09-16 22:25:26 +08:00
这样配置出来的profile无法装在一个没有被监督的iPhone上,真是悲剧。
第 5 条附言 · 2014-09-16 22:45:56 +08:00
但是这个网站上显示可以导入 IKE2 VPN 配置文件 https://getsetupfile.com/downloads/ios-8-iphone-ipad-ipod-touch/
第 6 条附言 · 2014-09-16 23:03:35 +08:00
已经写邮件给这个网站了,期望他们能给我个配置文件
Greetings,
I saw an article on your website about IKE2 On demand or Always On VPN set up guide, it needs to install a profile, but i don't know how to make that profile, I'm in China and VPN is as important as internet to me, i use VPN everyday. I wanted to buy your service but i've tried US server before, the speed is not good compared to Japan and Hongkong server. So i have a HongKong VPS server as well as a Japan server and i use Cisco Anyconnect App on iOS 8.
But all i need is a profile for iOS 8 to get always on VPN or on Demand VPN, Do i have to buy your service or would you kind enough to share with me a DUMMY profile with NO CRITICAL information? than i can modify to my usage.
I don't know if i can get a reply but thank you in advance
https://getsetupfile.com/downloads/ios-8-iphone-ipad-ipod-touch/
Regards
Justin He
Greetings,
I saw an article on your website about IKE2 On demand or Always On VPN set up guide, it needs to install a profile, but i don't know how to make that profile, I'm in China and VPN is as important as internet to me, i use VPN everyday. I wanted to buy your service but i've tried US server before, the speed is not good compared to Japan and Hongkong server. So i have a HongKong VPS server as well as a Japan server and i use Cisco Anyconnect App on iOS 8.
But all i need is a profile for iOS 8 to get always on VPN or on Demand VPN, Do i have to buy your service or would you kind enough to share with me a DUMMY profile with NO CRITICAL information? than i can modify to my usage.
I don't know if i can get a reply but thank you in advance
https://getsetupfile.com/downloads/ios-8-iphone-ipad-ipod-touch/
Regards
Justin He
106 条回复 • 2014-10-23 21:04:16 +08:00
 |
1
cattyhouse OP 没有人有兴趣么?
|
 |
2
sycsycsyc378 2014-09-16 19:16:34 +08:00
这里连 IKEv2 的 profile 生成都没人回复。求分享就更别指望了。
|
|
3
cattyhouse OP @sycsycsyc378 握手!!! 这么好的东西居然没人研究。
|
|
4
cattyhouse OP 这哥们写了一半,只写了服务端的设置,iOS的Profile部分他还没写。
https://atix.co/?p=12 |
|
5
cattyhouse OP 至于iOS端的配置文件如何写,Apple官方有最新的说明,苦于我看不懂XML写法,写不出来,求高手。大家一起研究下吗。
https://developer.apple.com/library/prerelease/ios/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html#//apple_ref/doc/uid/TP40010206-CH1-SW612 |
 |
6
Liebe 2014-09-16 20:11:41 +08:00
EurekaVPT支持
|
 |
7
hewigovens 2014-09-16 20:13:49 +08:00
@cattyhouse 装个Apple Configurator, 然后改改?
|
|
9
cattyhouse OP  1
@Liebe 这家简直抢钱。。。
|
|
10
cattyhouse OP @hewigovens Apple Configurator会把设备格式化装 iOS 7.1.2, 可能是iOS8还没正式出来吧?
|
|
11
hewigovens 2014-09-16 20:17:49 +08:00
|
|
12
hewigovens 2014-09-16 20:20:24 +08:00
@cattyhouse 你把profile导出用Safari打开装不就好了?
|
|
13
cattyhouse OP @hewigovens 出现你那个界面的前提是 Prepare过,但是就在Prepare的过程中,他就会尝试下载iOS 7.1.2 然后格式化iPhone。很无语。
|
|
14
cattyhouse OP @hewigovens 你这个Apple Configurator版本好多少呢?
|
|
15
cattyhouse OP @hewigovens 能不能帮我配置一个导出来,然后我在你基础上修改?关键信息比如ip 密码什么的随便写,只要是需要填入的地方都填上,随便填什么都行,我进入不了你这个界面。
|
|
16
Liebe 2014-09-16 20:39:41 +08:00
@cattyhouse 好的东西不会太便宜 就像Lispworks一样
|
|
17
cattyhouse OP @Liebe 他家没有VPN。。。都是APN和Shadowsocks,和另外一个SSLEDGE什么的。
|
|
18
hewigovens 2014-09-16 20:44:01 +08:00 via iPhone
@cattyhouse 开发者下的10.10可以用的beta 我记得不用prepare 也可以创建profile 的
|
|
19
hewigovens 2014-09-16 20:44:54 +08:00 via iPhone
@cattyhouse 回去发你
|
|
20
cattyhouse OP @hewigovens 难怪了,我不是开发者,我从App Store下载的,Version1.5,能帮个忙吗?写个Dummy的VPN Profile,勾选Always On和 IKE2 Only,VPN Type 是IPSEC,其余的信息随便写,导出,我再修改成自己需要的信息,不然按照Apple文档写Payload实在太蛋疼了,无从下手。
|
|
21
cattyhouse OP @hewigovens 非常感谢。
|
|
22
cattyhouse OP @hewigovens 我的v2ex id @ gmail
|
 |
23
drivel 2014-09-16 21:44:43 +08:00
@cattyhouse 有
|
|
24
sycsycsyc378 2014-09-16 21:49:50 +08:00
@hewigovens 同求新版 Apple Configurator 下载。邮箱 v2exID #gmail.com 。谢了!
|
 |
25
xuan_lengyue 2014-09-16 21:56:06 +08:00
|
|
26
sycsycsyc378 2014-09-16 21:59:30 +08:00
|
|
27
sycsycsyc378 2014-09-16 22:00:35 +08:00
@xuan_lengyue 已经在iMZDL上找到了地址。thx anyway
|
|
28
drivel 2014-09-16 22:02:35 +08:00
另外,刚才测试了一下 iOS 8 上 AnyConnect 速度一点也没问题,和以前一样能跑到 10Mbps
|
 |
29
Yien 2014-09-16 22:11:10 +08:00
make
|
|
30
cattyhouse OP @drivel 麻烦问一下你是自己配置的Server吗?用ocserv配置的?还是在别人家买的呢?我的Anyconnect自从升级到iOS8之后,速度再也没有超过2Mbps,在30Mbps网络上还是这个速度。同一个服务器上也配置了PPTP,速度能跑到20Mbps。
|
|
31
sycsycsyc378 2014-09-16 23:02:18 +08:00
这个必须要连接 iOS 设备才能生成 profile 嘛?现在没 iOS 设备了。因为看到说iOS 8和 Yosemite 的 VPN profile 通用的,想弄个电脑上先试试看。
|
|
32
cattyhouse OP @sycsycsyc378 OSX 也可以装。
|
|
33
sycsycsyc378 2014-09-16 23:08:14 +08:00
虽然找到了,不过看来还是 iOS only。不折腾了。strongswan 用 Astrill 有证书问题,真是蛋疼了。
|
|
34
cattyhouse OP @sycsycsyc378 OSX 就不要折腾了,什么vpn都一样用。 iOS主要是解决待机或者切换网络VPN断线问题,所以才需要研究。
|
|
35
sycsycsyc378 2014-09-16 23:16:34 +08:00 1
@cattyhouse 想看看效果。你那 PPTP 还能跑满速的网络就不要和我比了。我这管什么 VPN 都不好使。PPTP,L2TP 是直接封端口的。Anyconnect龟速。Astrill 的 StealthVPN 也半死不活连上也慢死。黑科技在我这也不黑。
|
|
36
cattyhouse OP @sycsycsyc378 感觉你在地狱了。
|
 |
37
aoom 2014-09-16 23:57:44 +08:00
首家韩国订购也开始了
http://sinfir.com/forum/view/28 |
 |
38
lbright 2014-09-17 01:20:20 +08:00
@sycsycsyc378 我们的国内中转解决方案 支持多协议 应该能解决你的问题
|
|
39
drivel 2014-09-17 06:16:07 +08:00
@cattyhouse 对,自己的。为了测试现配置了一个。
|
|
40
cattyhouse OP @drivel 求服务端配置文件,如何写?还有Anyconnect怎么总是不能导入证书呢?
|
 |
41
sadaharu09 2014-09-17 08:34:16 +08:00 via iPhone
还是指望APNP能够支持SPDY。
|
|
42
cattyhouse OP @sadaharu09 一个代理是不可能支持SPDY的,除非iOS本身支持。
|
|
43
sadaharu09 2014-09-17 09:17:08 +08:00 via iPhone
@cattyhouse 我最希望苹果可以改进代理协议,这样就可以用Twitter App了。
|
 |
44
ShadyK 2014-09-17 09:27:52 +08:00
@sadaharu09 据说iOS的APNP代理是可以支持SPDY的,只是facebook那些客户端代码里不支持
|
|
45
cattyhouse OP @sadaharu09 我不用APN代理,比较不安全。
|
 |
46
evolsnow 2014-09-17 10:20:07 +08:00
没有用apple configurator,就在win下iphone configurator配置了个ipsec的vpn.勾选了on-demand功能后打开指定域名是自动连接.对于不是工作需要或者隐私而需要保持vpn不断的我来说已经够了
|
 |
47
goodbest 2014-09-17 10:53:17 +08:00
不知道客户端profile如何写,如何部署。
说需要被监督的设备.. |
 |
48
fuck010bj 2014-09-17 11:04:30 +08:00
iOS8的VPN设置和以前不一样了?WP8.1那样?
|
 |
49
wzxjohn 2014-09-17 11:14:21 +08:00
在监督的问题上,可以参考一下这个:
http://support.apple.com/kb/HT5974?viewlocale=zh_CN 如果我没有理解错的话应该是使用configurator生成一个配置文件表明这个设备被我监督。configurator的工作流程是(准备->监督->分配)。按照苹果的描述楼主应是略过了监督阶段,经过准备之后直接分配了,所以导致了这个问题。。 |
|
50
wzxjohn 2014-09-17 11:18:08 +08:00
顺便一说这个12vpn有点坑钱啊。。。99美刀一年啊。。。
|
 |
51
coolicer 2014-09-17 11:23:30 +08:00
刚才折腾了IKEV2,配置成功了。
|
|
54
wzxjohn 2014-09-17 12:39:30 +08:00
@goodbest 你可能没理解我的意思。按照苹果的说明来看,所谓的监督也就是下发一个配置文件。我觉得12vpn的配置文件包含了多个内容,首先是将该设备加入监督,然后再给该设备配置VPN服务。如果有人能去买一下12vpn的服务就都明白了。。。
|
|
55
goodbest 2014-09-17 12:46:27 +08:00
@wzxjohn 当一个配置文件要求监督的时候,ios设备就要重新reset(类似重新刷机)。
经过我测试,ikeV2一旦选择了“总是连接”,就会要求监督,进而手机需要reset。 不过不选择“总是连接”的话,则不需要监督。 |
|
56
wzxjohn 2014-09-17 12:54:58 +08:00
@goodbest 原来如此。话说楼主给的链接里面似乎没说这是IKEv2的VPN啊?那里的描述说的是IPSEC,并没有强调协议。
|
|
57
wzxjohn 2014-09-17 12:57:38 +08:00
@goodbest 还有我看了一下楼主发的链接,我觉得可以尝试一下将
UIToggleEnabled Integer Optional. If set to 1, allows the user to disable this VPN configuration. Defaults to 0. 的值设置为1试试。感觉强制进入监督模式是因为不允许用户手动关闭VPN。如果允许用户手动关闭的话说不定就可以不需要监督模式了。 |
|
58
cattyhouse OP @wzxjohn always on 需要监督,on demand 不需要监督。IKEv2是与IPSec配合的。
设备被监督,不是简单的装个配置文件了事。而是格式化设备,装带有监督功能的系统。被监督的设备也没什么不好,你可以把自己的设备弄成监督模式。 |
|
59
cattyhouse OP @evolsnow 嗯。on demand基本上也够了。
|
|
61
goodbest 2014-09-17 13:11:09 +08:00
@cattyhouse 请问你有没有已经配置好的server。我想测试一下看看...
|
|
63
goodbest 2014-09-17 13:18:21 +08:00
@coolicer 或许我可以试试到底ios上怎么搞...
不介意的话可以把具体信息email给 gmail # lovegoodbest |
|
64
cattyhouse OP @goodbest 只要勾选了 always on,就需要把设备变为监督。on demand 是不需要的。我还没有配置服务器。
|
|
65
wzxjohn 2014-09-17 13:53:26 +08:00
@cattyhouse 这家似乎支持14天无条件退款。。。要不要猥琐一下。。。
|
|
66
wzxjohn 2014-09-17 14:11:59 +08:00
@cattyhouse 话说楼主是不是有点错误理解12vpn的网站的意思了。。。从截图来看看不出来12vpn支持Always On的IKEv2,而且其后还专门有这么一段:
How to connect to the VPN automatically? Please go to Settings > VPN and tap open the settings for your preferred VPN server. Then switch on the On-Demand option. Note that the On-Demand option responds to a limited number of domains. 也就是说连On-Demand都需要手动打开,并不是Profile指定的? |
|
67
cattyhouse OP @wzxjohn 我没有误解,我是发邮件给他们确定一下,我用了 or,因为我也不确定是不是两者都支持。后来他们回覆邮件给我了,附带了一个没有敏感信息的配置文件,用于 iOS 8 IKEv2/IPSec的,支持 on demand。
总之,要开启always on 必须把设备弄成 supervised模式。 |
|
68
wzxjohn 2014-09-17 14:20:16 +08:00
@cattyhouse 原来如此。可以公开一下这个配置文件么?
|
|
69
wzxjohn 2014-09-17 14:54:24 +08:00
@cattyhouse 不可以贡献配置文件么?话说我又看了一下苹果的配置说明,感觉似乎只使用On-Demand就可以实现Always On的功能也。。。
|
|
70
goodbest 2014-09-17 15:21:41 +08:00
@cattyhouse 期待你把server端弄好。这样好测试client端。
我按照你在主楼给的那个教程搭建server,但其他设备(非ios)也连不上。应该是我没搭建好的原因。 |
|
71
cattyhouse OP @wzxjohn 可以贡献,但他给我的那个似乎坏掉了,无法装,他把证书服务器等信息删掉了。导致连装都无发装,怀疑他删错了地方。
|
|
72
goodbest 2014-09-17 16:40:46 +08:00
@cattyhouse lz你来搭建一个server吧...有apple configurator,profile什么的挺好配置的
|
|
73
wzxjohn 2014-09-17 17:09:43 +08:00
@cattyhouse 这个应该可以解决,楼主传个网盘发来看看呗~
|
|
74
wzxjohn 2014-09-17 17:14:07 +08:00
@cattyhouse 话说这玩意一定要证书认证么?不能用PSK和用户密码来验证身份么。。。
|
|
75
cattyhouse OP @wzxjohn 发你gmail了
|
|
76
wzxjohn 2014-09-17 17:27:43 +08:00
@cattyhouse 已收到。看了一下重要的应该就是这一段:
<key>OnDemandEnabled</key> <integer>0</integer> <key>OnDemandRules</key> <array> <dict> <key>Action</key> <string>EvaluateConnection</string> <key>ActionParameters</key> <array> <dict> <key>Domains</key> <array> <string>facebook.com</string> <string>twitter.com</string> <string>dropbox.com</string> <string>youtube.com</string> <string>tumblr.com</string> <string>skype.com</string> <string>yahoo.com</string> <string>fbcdn.net</string> <string>12vpn.net</string> <string>google.com</string> <string>gmail.com</string> </array> <key>RequiredURLStringProbe</key> <string>https://host.example.com/nonexistent_url</string> <key>DomainAction</key> <string>ConnectIfNeeded</string> </dict> </array> </dict> </array> 不过苹果官方的解释没太看懂,其中的先后关系不是很明确。我理解的是这样的,在访问Domains里面的域名的时候,系统会去判断,如果这个域名解析失败了,或者访问失败了,就会尝试去建立VPN连接。在建立之前,系统会先访问一下RequiredURLStringProbe中的连接,如果返回码不是200,就建立VPN连接。用这种方式来达到在断线后不需要手动开启VPN,而是在你访问到了某些域名发现不能访问的时候系统自动拉起VPN。 |
|
77
cattyhouse OP @wzxjohn 没有顺序,访问其中任何一个都会触发VPN自动拨号。
|
|
78
wzxjohn 2014-09-17 18:01:00 +08:00
@cattyhouse 我说的顺序不是域名的顺序,这个苹果已经说明了,是从第一个开始逐个匹配。我比较疑惑的是访问RequiredURLStringProbe的时机。这个RequiredURLStringProbe到底在什么情况下会被访问我觉得苹果写的不是很清楚。
|
|
81
wzxjohn 2014-09-17 18:57:20 +08:00 via iPad
@goodbest Orz...我找了几篇文章是用Ubuntu弄的,Server似乎已经好了但是证书还有问题。。。
|
|
88
wzxjohn 2014-09-18 00:25:32 +08:00
@goodbest Server已经搭好!果然是证书的问题。这个还是很蛋疼啊。。。现在Win8.1连接VPN已经完全没有问题了。但是上网什么的我没有测试。
|
|
89
wzxjohn 2014-09-18 01:13:25 +08:00
蛋疼啊,Profile文件搞不定啊,所有需要的东西都导入了啊,可是连接就是失败啊。。。而且是秒失败。。。连为啥失败都看不到啊Orz。。。有没有什么可以看日志的方法啊。。。
|
|
91
wzxjohn 2014-09-18 08:12:19 +08:00 via iPad
@goodbest 可以,但是说实话我不太确定我的Server是不是真的配置好了,因为iOS死活连不上。。。Win 8就可以。。。
|
 |
92
wangyoang 2014-09-18 16:52:44 +08:00
@evolsnow IKEv2 的 on demand 是怎么配置的?我用 iPhone Configuration Utility 和 Apple Configurator 都没有找到这个选项。
|
|
93
fuck010bj 2014-09-18 17:50:29 +08:00
ios为啥不能把IKEv2的设置做得像WP8.1那样方便啊
|
|
95
wangyoang 2014-09-19 13:07:06 +08:00
@wzxjohn 我买的VPN用的是preshared key方式进行验证的,是不是这种方式不能设置on demand呢?我看了12vpn给的配置文件里面用的是cert的验证。
|
|
96
wzxjohn 2014-09-19 13:30:41 +08:00 1
@wangyoang 12VPN给的不是证书认证,但是也不是preshared key认证,因为大部分IKEv2客户端根本就不支持preshared key认证的方式。。。
|
|
97
cattyhouse OP |
|
98
wangyoang 2014-09-19 14:30:45 +08:00
@cattyhouse 确实是这样的,谢谢解读。另外能推荐支持IKEv2的VPN吗?12vpn 99刀每年还是有点贵,对于手机偶尔上网来说。现在用的VPN不支持证书验证,所以没办法配置这个,而且到明年4月才到期。。。
|
|
99
wzxjohn 2014-09-19 16:00:56 +08:00
@cattyhouse 我买了12VPN所以我可以很负责任的告诉你他们用的不是证书认证。。。而且我已经成功了但是鉴于这个是盗用了12VPN的方法所以我想了想还是不公开了,自己玩玩就算了。。。
|
Select Language