quericy / one-key-ikev2-vpn Goto Github PK

View Code? Open in Web Editor NEW

2.1K 133.0 705.0 103 KB

A bash script base on Centos or Ubuntu help you to create IKEV2/L2TP vpn.

License: GNU General Public License v3.0

Shell 100.00%

ikev2 vpn strongswan ikev2-vpn ssl ssl-ikev2

one-key-ikev2-vpn's Introduction

一键搭建适用于Ubuntu/CentOS的IKEV2/L2TP的VPN

使用bash脚本一键搭建Ikev2的vpn服务端.

特性

服务端要求：Ubuntu或者CentOS-6/7或者Debian

客户端：

iOS/OSX=>ikev1,ikev2
Andriod=>ikev1
WindowsPhone=>ikev2
其他Windows平台=>ikev2

可使用自己的私钥和根证书，也可自动生成

证书可绑定域名或ip

要是图方便可一路回车

服务端安装说明

下载脚本:
```
wget --no-check-certificate https://raw.githubusercontent.com/quericy/one-key-ikev2-vpn/master/one-key-ikev2.sh
```
- 注:如需使用其他分支的脚本,请将上述url中的master修改为分支名称,各分支区别详见本页的分支说明节点

运行脚本：

chmod +x one-key-ikev2.sh
bash one-key-ikev2.sh

等待自动配置部分内容后，选择vps类型（OpenVZ还是Xen、KVM），选错将无法成功连接，请务必核实服务器的类型。输入服务器ip或者绑定的域名(连接vpn时服务器地址将需要与此保持一致,如果是导入泛域名证书这里需要写*.域名的形式)；
选择使用使用证书颁发机构签发的SSL证书还是生成自签名证书：
- 如果选择no,使用自签名证书（客户端如果使用IkeV2方式连接，将需要导入生成的证书并信任）则需要填写证书的相关信息(C,O,CN)，为空将使用默认值(default value)，确认无误后按任意键继续,后续安装过程中会出现输入两次pkcs12证书的密码的提示(可以设置为空)
- 如果选择yes，使用SSL证书（如果证书是被信任的，后续步骤客户端将无需导入证书）请在继续下一步之前，将以下文件按提示命名并放在脚本相同的目录下（SSL证书详细配置和自动续期方案可见https://quericy.me/blog/860/ ）：
  1. ca.cert.pem 证书颁发机构的CA，比如Let‘s Encrypt的证书,或者其他链证书；
  2. server.cert.pem 签发的域名证书；
  3. server.pem 签发域名证书时用的私钥；
是否使用SNAT规则(可选).默认为不使用.使用前请确保服务器具有不变的静态公网ip,可提升防火墙对数据包的处理速度.如果服务器网络设置了NAT(如AWS的弹性ip机制),则填写网卡连接接口的ip地址(参见KinonC提供的方案:#36).
防火墙配置.默认配置iptables(如果使用的是firewall(如CentOS7)请选择yes自动配置firewall,将无视SNAT并跳过后续的补充网卡接口步骤).补充网卡接口信息,为空则使用默认值(Xen、KVM默认使用eth0,OpenVZ默认使用venet0).如果服务器使用其他公网接口需要在此指定接口名称,填写错误VPN连接后将无法访问外网)
看到install Complete字样即表示安装完成。默认用户名密码将以黄字显示，可根据提示自行修改配置文件中的用户名密码,多用户则在配置文件中按格式一行一个(多用户时用户名不能使用%any),保存并重启服务生效。
将提示信息中的证书文件ca.cert.pem拷贝到客户端，修改后缀名为.cer后导入。ios设备使用Ikev1无需导入证书，而是需要在连接时输入共享密钥，共享密钥即是提示信息中的黄字PSK.

客户端配置说明

连接的服务器地址和证书保持一致,即取决于签发证书ca.cert.pem时使用的是ip还是域名;
Android/iOS/OSX 可使用ikeV1,认证方式为用户名+密码+预共享密钥(PSK);
iOS/OSX/Windows7+/WindowsPhone8.1+/Linux 均可使用IkeV2,认证方式为用户名+密码。使用SSL证书则无需导入证书；使用自签名证书则需要先导入证书才能连接,可将ca.cert.pem更改后缀名作为邮件附件发送给客户端,手机端也可通过浏览器导入,其中:
iOS/OSX 的远程ID和服务器地址保持一致,用户鉴定选择"用户名".如果通过浏览器导入,将证书放在可访问的远程外链上,并在系统浏览器(Safari)中访问外链地址.OSX证书需要设置为始终信任(添加方法见**#58**中JiaHaoGong的截图);
Windows PC 系统导入证书需要导入到**"本地计算机"**的"受信任的根证书颁发机构",以"当前用户"的导入方式是无效的.推荐运行mmc添加本地计算机的证书管理单元来操作;
WindowsPhone8.1 登录时的用户名需要带上域信息,即wp"关于"页面的设备名称\用户名,也可以使用%any %any : EAP "密码"进行任意用户名登录,但指定了就不能添加其他用户名了.
WindowsPhone10 ~~的vpn还存在bug(截至10586.164),ikeV2方式可连接但系统流量不会走vpn,只能等微软解决.~~ (截至14393.5 ,此bug已经得到修复,现在WP10已经可以正常使用IkeV2.)
Windows10 也存在此bug,部分Win10系统连接后ip不变,没有自动添加路由表,使用以下方法可解决(本方法由 bigbigfish 童鞋提供):
- 手动关闭vpn的split tunneling功能(在远程网络上使用默认网关);
- 也可使用powershell修改,进入CMD窗口,运行如下命令:
```
powershell    #进入ps控制台
get-vpnconnection    #检查vpn连接的设置（包括vpn连接的名称）
set-vpnconnection "vpn连接名称" -splittunneling $false    #关闭split tunneling
get-vpnconnection   #检查修改结果
exit   #退出ps控制台
```

卸载方式

进入脚本所在目录的strongswan文件夹执行:
```
make uninstall
```
删除脚本所在目录的相关文件(one-key-ikev2.sh,strongswan.tar.gz,strongswan文件夹,my_key文件夹).
卸载后记得检查iptables配置.

分支说明

master分支:经过测试的相对稳定的版本;
dev-debian分支:~~Debian6/7测试分支,该脚本由bestoa修改提供~~.主分支已提供对Debian的支持,该分支已废弃:#59;
dev分支:开发分支,使用最新版本的strongswan,未进过充分测试,用于尝试和添加一些新的功能,未来可能添加对L2TP的兼容支持,以及对ipv6的支持;

部分问题解决方案

ipsec启动问题：服务器重启后默认ipsec不会自启动，请命令手动开启,或添加/usr/local/sbin/ipsec start到自启动脚本文件中(如rc.local等)：
```
ipsec start
```

ipsec常用指令:

ipsec start   #启动服务
ipsec stop    #关闭服务
ipsec restart #重启服务
ipsec reload  #重新读取
ipsec status  #查看状态
ipsec --help  #查看帮助

可连接但是无法访问网络：
- 检查iptables是否正常启用,检查iptables规则是否与其他地方冲突,或根据服务器防火墙的实际情况手动修改配置。
- 检查sysctl是否开启ip_forward:
  1. 打开sysctl文件:vim /etc/sysctl.conf
  2. 修改net.ipv4.ip_forward=1后保存并关闭文件
  3. 使用以下指令刷新sysctl：sysctl -p
  4. 如执行后正常回显则表示生效。如显示错误信息，请重新打开/etc/syctl并根据错误信息对应部分用#号注释，保存后再刷新sysctl直至不会报错为止。
如果之前使用的自签名证书，后改用SSL证书，部分客户端可能需要卸载之前安装的自签名证书,否则可能会报Ike凭证不可接受的错误:
- iOS：设置-通用，删除证书对应的描述文件即可；
- Windows：Win+R,运行mmc打开Microsoft管理控制台,文件->添加管理单元,添加证书管理单元(必须选计算机账户),展开受信任的根证书颁发机构,找到对应的自签名证书,右键删除即可;
- Windows Phone:暂时没有找到可以卸载证书的方法(除非越狱),目前只能重置来解决此问题;
部分vps可能会出现无法连接到https://download.strongswan.org的情况，此时可以本地下载strongswan文件，然后利用scp等工具上传至vps相应目录:
```
wget --no-check-certificate https://download.strongswan.org/strongswan-5.5.1.tar.gz

scp -P your-vps-port /path/to/file account@your-vps-ip:~
```

如有其他疑问请戳本人博客：https://quericy.me/blog/699/

one-key-ikev2-vpn's People

Contributors

Stargazers

Watchers

Forkers

q505507538 momosusu fenghuilee jd04063221 runjuuu inri13666 wanliang1221 znanl nikotung gt11799 tdh62 digisonny freaking1 cybercarrot gpulost xianjian10 mackjoner reedhong chunpu hailuodev jetvster iphp patrick-bercow chu888chu888 kj54321 ly827 shangyou jim3ma labking wong8369 bsasks lozybean mokecc wland okhost ppsleep aflext starduster inyko enefry cfcboy asakali hyponet orlowang wufawei ipfans sunmsn yanbinyang magicafe yao2040399 spance magic282 myisjon cysk003 yar999 vigotseng magicians breeze2 cloudxtreme wavelee sunboygo xyzs996 weioperac moutywong wxnode lgis80boy xwv rampagex xiadao juniorhou devcxm dmitrijn zebulonjiang andyzhaohe ggbg polokobe lqzh1987 lgg-awesome fangxinmiao amor33 littlemodesty kitvv tourin vbubblery tcalix atomz hnkama dylanvelsi fansangg sky101010ws karlzeo contextswitchwang cutemanworking veelion cocsos gvsurenderreddy huangchanghu shiyj austgl lvmo

one-key-ikev2-vpn's Issues

找到个bug，给你说下

centos 下，首次安装不重启服务器，工作正常。重启后无法翻墙。目测是路由表加的顺序问题，手动调整/etc/sysconfig/iptables，再重启，一切OK，代码这块你改下。另外交个朋友。加我好友，谢谢啦。

搭建之后，VPN客户端无法访问服务器内网的IP，请问这个问题如何解决？

是脚本没有考虑到这个需求，还是要另做配置呢，望解答

ios 连接问题

IOS 9下连接失败，查看日志发现是没有匹配到配置「no IKE config found」，怎么破?

安装的时候，确认服务器类型没有选错，id是默认的，c、o、cn都是默认。

choose VPS type: wrong choice!

please choose the type of your VPS(Xen、KVM: 1 , OpenVZ: 2):
wrong choice!

Exit code: 1

echo "please choose the type of your VPS(Xen、KVM: 1 , OpenVZ: 2):"
read -p "your choice(1 or 2):" os_choice
if [ "$os_choice" = "1" ]; then
os="1"
os_str="Xen、KVM"
else
if [ "$os_choice" = "2" ]; then
os="2"
os_str="OpenVZ"
else
echo "wrong choice!"
exit 1
fi
fi

脚本的if 和else 好像没有对齐，是这个问题么？我有点小白，或者这样同样可以键入？

Mac OSX 10.11.6 无法连接

安装完成之后iPhone和iPad是可以正常连接和上网的，Mac却不能连接成功，Mac上面证书已安装并且也设置了始终信任。服务器为linode上面的CentOS 7。

请大神看下能有解决方法没，下面是部分Log，IP 110.110.110.110为本机IP，IP 120.120.120.120为VPN服务器IP

Nov 27 12:43:59 localhost charon: 09[NET] received packet: from 110.110.110.110[500] to 120.120.120.120[500] (604 bytes)

Nov 27 12:43:59 localhost charon: 09[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]

Nov 27 12:43:59 localhost charon: 09[IKE] 110.110.110.110 is initiating an IKE_SA

Nov 27 12:43:59 localhost charon: 09[IKE] remote host is behind NAT

Nov 27 12:43:59 localhost charon: 09[IKE] sending cert request for "C=com, O=myvpn, CN=VPN CA"

Nov 27 12:43:59 localhost charon: 09[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) ]

Nov 27 12:43:59 localhost charon: 09[NET] sending packet: from 120.120.120.120[500] to 110.110.110.110[500] (473 bytes)

Nov 27 12:44:29 localhost charon: 16[JOB] deleting half open IKE_SA after timeout

tar bug

小意外，如果目录有 strongswan-5.3.3
那脚本就有错误了，无法进行，既然下载指定了 5.5.1，tar命令也指定好了

关于 Azure VM 获取IP地址有误的问题

使用 Azure VM A0 主机，成安装此版本且 IOS 9 可正常连接 VPN（android_xauth_psk 形式），但故障形式为无网络访问。

ipsec statusall 日志如下：

Security Associations (1 up, 0 connecting): android_xauth_psk[4]: ESTABLISHED 10 seconds ago, 10.0.0.4[10.0.0.4]...194.129.91.141[192.168.1.107]

此处 10.0.0.4 应为 VM 的外网 ip 地址，而非为本地局域网地址，可知此处存疑。
又查 StrangSwan 监听日志为：

Listening IP addresses:
  10.0.0.4
  10.0.1.1

可知错误原因为脚本未正确获取 ip 地址。
我已作 net.ipv4.ip_forward=1 转发，恳请询问现在可能的解决办法。

macos sierra让ikev2无法工作了

苹果为了安全，不仅吧pptp拿掉了，而且那个eap-mschapv2也应该去掉了，，
目前vpn瘫痪中，，正在研究如何弄，大表哥看看咋解决呢

IOS10 一直回车，类型选对后不能连，提示VPN服务器未响应

重装了了很多次还是这样

ubuntu的sevice-managerstrongswan安装之后，无配置显示，无法上网

请问客户端是ubuntu时，怎么使用vpn上网？

请增加对 Fedora 22 的支持

--enable-tools NO longer valid in strongSwan 5.3.5

I came across your article when trying to compile the latest strongswan (5.3.5 at the moment) as the package in Ubuntu 14.04 LTS is a bit out-dated (5.1.2) and does not have the swanctl CLI tool introduced in 5.2.0.

Your article did help me to figure out the autoconf options to compile strongswan with needed plugins, thanks for that ;-D

Just want to point out that --enable-tools is no longer valid option for 5.3.5. Not exactly sure what it is but I reckon it is replaced by --enable-swanctl as per Autoconf options for the most current strongSwan release

configure: WARNING: unrecognized options: --enable-tools

You may want to update the install script.

Anyway, I compiled 5.3.5 from source using the following autoconf configurations and it worked fine so far.

cd /path/to/strongswan-5.3.5

./configure --prefix=/usr --sysconfdir=/etc --enable-eap-identity --enable-eap-md5 \
--enable-eap-mschapv2 --enable-eap-tls --enable-eap-ttls --enable-eap-peap  \
--enable-eap-tnc --enable-eap-dynamic --enable-eap-radius --enable-xauth-eap  \
--enable-xauth-pam  --enable-dhcp  --enable-openssl  --enable-addrblock --enable-unity  \
--enable-certexpire --enable-radattr --enable-openssl --disable-gmp --enable-swanctl

make -j $(nproc)

make install

High recommend this article for anyone who wants to set up their own IPsec VPN using strongSwan.

https://raymii.org/s/tutorials/IPSEC_vpn_with_CentOS_7.html

vultr CentOS release 6.7 (Final)不能连接

安装成功，客户端也配置好了，mac和ios都不能连接，同台服务器当前正使用pptp方式vpn不知道有没有影响

Script Doesn't Start After Server Restart

Hey man,

Thanks a lot for this awesome script, however I have some problem regarding the script startup.
After I restart the server, the VPN server does not respond anymore.
I have tried
ipsec restart
and
/usr/local/sbin/ipsec restart
still no go :(
Here is the windows 10 error:
The network connection between your computer and the VPN server could not be established because the remote server is not responding [...].
Server -> Ubuntu 16.04 OpenVZ X64

Readme有个小错误

连上服务器后无法链接外网：
1.打开sysctl文件:
vim /etc/sysctl

应该是vim /etc/sysctl.conf

IOS 10 连不上，window 7可以连

IOS 10 连不上，window 7可以连，有人遇到这个问题吗

无法生成证书

VPS OS 为 debian, 想到 ubuntu 也是debian系列的，于是我修改了检测系统的函数，其他的动，应该不是问题，但是有如下错误

ca.pem [not found]
auto create ca.pem ...
/usr/sbin/ipsec: unknown IPsec command pki' (ipsec --help' for list)
ca.cert.pem [not found]
auto create ca.cert.pem ...
/usr/sbin/ipsec: unknown IPsec command pki' (ipsec --help' for list)
/usr/sbin/ipsec: unknown IPsec command pki' (ipsec --help' for list)
/usr/sbin/ipsec: unknown IPsec command pki' (ipsec --help' for list)
/usr/sbin/ipsec: unknown IPsec command pki' (ipsec --help' for list)
/usr/sbin/ipsec: unknown IPsec command pki' (ipsec --help' for list)
/usr/sbin/ipsec: unknown IPsec command pki' (ipsec --help' for list)
/usr/sbin/ipsec: unknown IPsec command pki' (ipsec --help' for list)
configure the pkcs12 cert password(Can be empty):
unable to load private key
19241:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:650:Expecting: ANY PRIVATE KEY

Press any key to install ikev2 VPN cert
net.ipv4.ip_forward = 1
/usr/sbin/ipsec: unknown IPsec command start' (ipsec --help' for list)

[Install Successful]
There is the default login info of your VPN
UserName: myUserName
PassWord: myUserPass
PSK: myPSKkey
you can change UserName and PassWord in /usr/local/etc/ipsec.secrets
you must copy the cert /root/my_key/ca.cert.pem to the client and install it.

查看文件夹 my_key里的所有文件都是空的0字节。

设置了net.ipv4.ip_forward=1之后手机仍然无法上网（可以连接到vpn server）

第三方购买的证书的配置问题

我第三方购买的ssl证书可以在我的网站上使用（https),但此证书没法用在一键安装脚本里面, 会导致win7连接ipsecs时提示 Error 13801：IKE authentication错误
我怀疑是证书配置有问题，请问会是什么原因？

ca.cert.pem 证书颁发机构的CA，比如Let‘s Encrypt的证书,或者其他链证书；---->这个是证书签发机构的 the intermediate certificate 吗？
server.cert.pem 签发的域名证书；--->这个是我购买的SSL证书（已经可以成功用在https)？
server.pem 签发域名证书时用的私钥；---->这个是我的私钥？

谢谢！

安装完成后，mac不能连接

已经安装完成，并把ca.cert.pem下载到本地，尝试用证书鉴定设置，发现列表里面没有显示该证书，keychain里面也是显示该证书不被信任，又尝试用用户名和密码登录，也连接不上，请问怎么解决呢？

Automatic IPv6 detection request

Hi, if there have a Linux VPS who is equipped with IPV6 address (Such as ISP DigitalOcean), I am wandering if it possible to automatically detect IPv6 support in StrongSwan by default?

letsencrypt生成的证书对不上号。

letsencrypt生成了4个证书文件。
但是不知道对应的证书文件是哪个。

ca.cert.pem 证书颁发机构的CA，比如Let‘s Encrypt的证书,或者其他链证书；
server.cert.pem 签发的域名证书；
server.pem 签发域名证书时用的私钥；

生成的4个证书文件不知道哪3个是对应这三个证书的，请问可以告知下吗？

win 7 连接 809错误

use real ssl for ikev2

Hello
i got a ssl from comodo
(ssl files are ca_bundle.crt , certificate.crt , private.key )
how can i set them for strongswan ikev2?
thanks

希望添加下载的功能

ikev2 support for ios8 and above

关于客户端连接的问题

请问装完了怎么使用图形界面连接
客户端 ubuntu 14.04,不知道安装cert证书是什么意思..

不支持Mac OS X 10.11么？

Linode Ubuntu16.04，安装好之后，依然是8分钟掉线。

反馈：
8分钟依然掉线
大神解决一下吧，谢谢你了。

请问现在支持CENTOS7吗？

RT，如果不支持，有计划什么时候会支持的吗？

建议增加 eth0 是否为公网接口的判断

举个栗子，阿里云 eth0 是内网 IP，默认 eth0 的话会产生可以 VPN 连接，但是没有公网的问题。
get_my_ip 的时候判断一下 eth0 IP 是不是私有网段，或者直接加个输入网卡接口名的步骤。

使用Let‘s Encrypt证书后，win10客户端无法访问

使用Let‘s Encrypt证书最大的好处就是不用在客户端安装证书。准备好证书安装后，在同样的网络环境下，ipad和android的strongswan客户端都可以连接，唯独win10还是不行。不知有人成功过么？

用IP地址自签证书，倒是都能连接的。

提示成功，但是不能使用

服务器是openvz架构的，ubuntu系统，提示安装成功，但是ios设备连接不成功，有任何debug方法没有，日志输出等方式。

小问题：错别字default_vale

搜了下，master一共有两个地方。应该是default value吧- -

我用的是Azure，类型为Hyperv

请问这个应该怎么办？

ikev2 && oneinstack 存在冲突

我发现ikev2和oneinstack lamp环境(https://oneinstack.com/install).存在冲突，如果我先安装lamp,再一键安装IPSEC/IKEV2 VPN服务器，那么VPN服务器就死活安装不成功，如果我先安装VPN再安装oneinstack ，那么lamp环境就会出现问题。
我的是Centos 6 x86 minimal

no netkey IPsec stack detected when run ipsec

Hi,
Did you encounter that issue, missing ipsec stack, so ipsec can't run.
My OS is Ubuntu 14.04 x86_64.
[root@www:/home/vpn/strongswan# ipsec status
Security Associations (0 up, 0 connecting):
none
root@www:/home/vpn/strongswan# ipsec restart
Stopping strongSwan IPsec...
Starting strongSwan 5.5.1 IPsec [starter]...
no netkey IPsec stack detected
no KLIPS IPsec stack detected
no known IPsec stack detected, ignoring!
root@www:/home/vpn/strongswan#
root@www:/home/vpn/strongswan#
root@www:/home/vpn/strongswan# uname -a
Linux www 2.6.32-042stab108.5 #1 SMP Wed Jun 17 20:20:17 MSK 2015 x86_64 x86_64 x86_64 GNU/Linux

Thanks,
Chao

下载0.13Mbps，上传0.77Mbps。实在是太慢了。。。

实在是太慢了。。。

/root/my_key/ca.cert.pem zero disk

提示这个证书大小为0诶

IKEv2 iOS 9.3.1 和 OSX 10.11.4 连接不上

ubuntu 14.04 KVM master分支

Log

Apr 13 08:25:52 guest charon: 03[IKE] remote host is behind NAT
Apr 13 08:25:52 guest charon: 03[IKE] sending cert request for "C=com, O=myvpn, CN=VPN CA"
Apr 13 08:25:52 guest charon: 03[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
Apr 13 08:25:52 guest charon: 03[NET] sending packet: from ip[500] to ip2[500] (465 bytes)
Apr 13 08:25:53 guest charon: 13[NET] received packet: from ip2[4500] to ip[4500] (496 bytes)
Apr 13 08:25:53 guest charon: 13[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]
Apr 13 08:25:53 guest charon: 13[CFG] looking for peer configs matching ip[ip]...ip2[192.168.1.102]
Apr 13 08:25:53 guest charon: 13[CFG] selected peer config 'ios_ikev2'
Apr 13 08:25:53 guest charon: 13[IKE] initiating EAP_IDENTITY method (id 0x00)
Apr 13 08:25:53 guest charon: 13[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Apr 13 08:25:53 guest charon: 13[IKE] peer supports MOBIKE
Apr 13 08:25:53 guest charon: 13[IKE] authentication of 'ip' (myself) with RSA signature successful
Apr 13 08:25:53 guest charon: 13[IKE] sending end entity cert "C=com, O=myvpn, CN=ip"
Apr 13 08:25:53 guest charon: 13[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]
Apr 13 08:25:53 guest charon: 13[NET] sending packet: from ip[4500] to ip2[4500] (1184 bytes)

radius auth

hi,
I installed strongswan on my ubuntu 14.04 LTS and now i want to use radius auth for ikev1 and ikev2
my ipsec.conf:
http://paste.ubuntu.com/23216842/
with this config ikev1 radius work with no problem but ikev2 doesn't work.
my syslog:
http://paste.ubuntu.com/23216851/

also i tested rightauth=xauth-pam ( eap-gtc plugin installed) for use pam_radius but that does n't work
my /etc/pam.d/ipsec :
auth required /lib/security/pam_radius_auth.so account required /lib/security/pam_radius_auth.so session required /lib/security/pam_radius_auth.so
thanks for your script

安装完成后连不上

我按照你的安装步骤一步一步安装成功了，但是当我尝试在 ios 手机上用 ikev2 连接的时候总也连不上! 不知道是怎么回事! 也不知道怎么调试!

每次连接的时候我想通过 tail -f /var/log/syslog 或 tail -f /var/log/auth.log 看不到任何连接信息!

ipsec 也启动了:
sudo ipsec status
Security Associations (0 up, 0 connecting):
none

Apr  1 22:12:31 152424 charon: 14[IKE] 客户端IP is initiating an IKE_SA
Apr  1 22:12:32 152424 charon: 15[IKE] IKE_SA ios_ikev2[13] established between 服务器IP[服务器域名]...客户端IP[192.168.1.5]
Apr  1 22:12:32 152424 charon: 15[IKE] CHILD_SA ios_ikev2{20} established with SPIs 5c12d761_i 0e37ed88_o and TS 0.0.0.0/0 === 10.31.2.1/32
Apr  1 22:20:32 152424 charon: 13[IKE] 客户端IP is initiating an IKE_SA
Apr  1 22:20:33 152424 charon: 13[IKE] deleting IKE_SA ios_ikev2[13] between 服务器IP[服务器域名]...客户端IP[192.168.1.5]
Apr  1 22:20:33 152424 charon: 13[IKE] IKE_SA deleted

会可能是什么原因导致的？