iOS和OSX使用IKEv2连接正好8分钟时就断开

Question

iOS和OSX使用IKEv2连接正好8分钟时就断开

bindiry opened this issue 8 years ago · 16 comments

服务器系统：Ubuntu 14.04.2 x64 (OpenVZ)
客户端系统：iOS 9.3.1 / OSX 10.11.4
连接方式: IKEv2 (使用IKEv1能正常连接不断线)

测试过多次，每次都能正常连接并正常使用，但正好8分钟时就断开。日志如下：

Apr  1 22:12:31 152424 charon: 14[IKE] 客户端IP is initiating an IKE_SA
Apr  1 22:12:32 152424 charon: 15[IKE] IKE_SA ios_ikev2[13] established between 服务器IP[服务器域名]...客户端IP[192.168.1.5]
Apr  1 22:12:32 152424 charon: 15[IKE] CHILD_SA ios_ikev2{20} established with SPIs 5c12d761_i 0e37ed88_o and TS 0.0.0.0/0 === 10.31.2.1/32
Apr  1 22:20:32 152424 charon: 13[IKE] 客户端IP is initiating an IKE_SA
Apr  1 22:20:33 152424 charon: 13[IKE] deleting IKE_SA ios_ikev2[13] between 服务器IP[服务器域名]...客户端IP[192.168.1.5]
Apr  1 22:20:33 152424 charon: 13[IKE] IKE_SA deleted

会可能是什么原因导致的？

Answer 1 · 2016-04-04T15:01:00.000Z

由于iOS9的配置是参考文末那两篇文章的,我手头没有iOS设备所以也没法完善测试,抱歉.
之前IKE的配置有点问题,现已将ike=aes256-sha1-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024!修改为ike=aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024!
Github上脚本已经更新.
如果不重装的话,直接修改ipsec.conf文件并重启ipsec服务后检查是否能在iOS上正常工作.
rekey=no这个设置项是为了兼容windows,否则windows设备会断开链接.

如果上述修改仍然无效的话,你可以尝试下将 dpdaction=clear 去掉看看能否改善这个问题.

Answer 2 · 2016-04-05T00:57:50.000Z

试了一下改成 ike=aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024! 测试还是会在8分钟时断开

然后又试了一下将 dpdaction=clear 去掉，也还是会断开

另外在官方wiki上看到，似乎之前的ike配置就是对的。

Answer 3 · 2016-04-05T01:53:03.000Z

这个问题确实很奇怪,暂时也没看到有什么好的解决方法...
试试用rekey把lifetime设置得大一些,比如24h

Answer 4 · 2016-04-29T18:47:47.000Z

相同的问题
Server system: Ubuntu 14.04.4 x64 (KVM)
Client system: OSX 10.11.4
修改 ios_ikev2 里的 rekey & lifetime 无效，还是 8 min 自动断线
我是否应该在 ipsec.conf 里再建立一个 OSX 的 section?

Answer 5 · 2016-05-17T04:53:54.000Z

配置里改为
ike=aes256-sha256-modp2048,3des-sha1-modp2048,aes256-sha1-modp2048!
就可以了

Answer 6 · 2016-05-17T06:03:34.000Z

@asmc 感谢回复,请问您是测试过可以解决iOS和OSX的自动断线问题吗?能否提供相关资料或链接以供参考?非常感谢~

Answer 7 · 2016-05-17T06:59:41.000Z

@asmc @quericy 我试了下，的确可以了，现在不是8分钟固定掉线了。是不是每隔8min交换一次密钥导致的？然后发现密钥格式不对，所以第8min强制掉线？

PS: 貌似IKEv2或者我的网络不是很稳定，现在变成了随机掉线。。。

Answer 8 · 2016-05-17T10:02:29.000Z

杂七杂八搜的，也找不到了，据说苹果还是继续支持dh2的，https://support.apple.com/zh-cn/HT206154，目前猜测应该改成rekey=yes,尝试一下，看是否会在dh14失败的时候，尝试dh2

Answer 9 · 2016-05-17T10:15:12.000Z

苹果公司和美国fbi之间的战斗，始于各种加密解密，所以建议dh14,最好还是用的好

Answer 10 · 2016-05-17T12:13:02.000Z

找到几个参考链接
https://forum.pfsense.org/index.php?topic=110790.0
https://wiki.strongswan.org/issues/737

Answer 11 · 2016-05-26T02:50:08.000Z

@siriulx @asmc
如果设置rekey=yes,windows/wp 客户端会用不了
更新到dev分支了.是否稳定还希望各位有iOS/OSX设备的童鞋们能帮忙测试下~

Answer 12 · 2016-10-10T03:04:43.000Z

根据strongswan官方文档 IKEv2 on iOS 9 and iOS 10，这个问题会在strongswan5.5.1中修复。
现在的解决办法是禁用 MOBIKE 或者 DPD

mobike=no 
dpdaction=none

请作者@quericy尽快将strongswan升级到最新版本。

Answer 13 · 2016-10-26T02:06:22.000Z

@caasiu 非常感谢提供最新信息，脚本已更新，并做了其他修正。

Answer 14 · 2016-11-08T05:10:17.000Z

非常感谢 @caasiu ，有用！

Answer 15 · 2016-11-23T03:02:26.000Z

此Bug应该已在Strongswan5.5.1中解决,如果没有后续反馈,将关闭此Issue.

Answer 16 · 2016-12-04T04:40:14.000Z

是ipsec.conf中的ike和esp配置的不正确。
可以将日志打全一点，然后就能看到client都有哪些加解密方式服务器没有配置了。在8分钟断开的时候会有日志。

打开日志的方式

config setup
        charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2"

执行 sudo ipsec start --nofork 就能在终端里看到日志了

IKEv2 Cipher Suites照着这上边填好配置就行

Apple Clients这个网页上写的太少了，只配置这三个是不够的