使用android (ICS客户端)与Strongswan 4.5.0服务器建立VPN连接(IKEv1)时出现的问题

Question

在使用android (ICS客户端)和Strongswan 4.5.0服务器设置VPN连接(IKEv1)时，我遇到了一些问题。

以下是设立的机构：

Strongswan服务器运行在ubuntu机器上，该机器连接到一些wifi热点。使用步骤在本指南中链接，我生成了CA、服务器和客户端证书。

一旦生成证书，后续(clientCert.p12和caCert.pem)将通过邮件发送到移动设备上，并安装在android设备上。

下面是分配给各种接口的ip地址

其中服务器运行的Linux服务器wlan0接口ip : 192.168.43.212，android设备eth0接口ip地址: 192.168.43.62；Android设备也附加了相同的wifi热点。

在Android设备上，我使用IPsec Xauth选项来设置VPN身份验证配置。

我使用以下ipsec.conf配置：

# basic configuration
config setup
        plutodebug=all
        # crlcheckinterval=600
        # strictcrlpolicy=yes
        # cachecrls=yes
        nat_traversal=yes
        # charonstart=yes
        plutostart=yes
# Add connections here.
# Sample VPN connections
conn ios1
        keyexchange=ikev1
        authby=xauthrsasig
        xauth=server
        left=%defaultroute
        leftsubnet=0.0.0.0/0
        leftfirewall=yes
        leftcert=serverCert.pem
        right=192.168.43.62
        rightsubnet=10.0.0.0/24
        rightsourceip=10.0.0.2
        rightcert=clientCert.pem
        pfs=no
        auto=add

当我在android设备上启用VPN时，VPN连接不成功，并且在身份验证阶段超时。

我在android设备和strongswan服务器上运行了wireshark，下面是tcpdump的观察结果。

1. 最初，设备和服务器之间的身份保护(主模式)交换是成功的。
2. 毕竟，成功的身份保护(主模式)交换服务器正在向设备发送事务(Config模式)。
3. 在回复中，android设备正在发送信息消息，而不是事务(Config模式)消息。
4. 此外，服务器继续发送事务(Config模式)消息，并且设备再次发送身份保护(主模式)消息。
5. 最后，超时发生，连接失败。

我还捕获了Strongswan服务器日志，下面是服务器日志中的代码片段，这也验证了相同的内容(上面已经描述过)。

Apr 27 21:09:40 Linux pluto[12105]: | **parse ISAKMP Message:
Apr 27 21:09:40 Linux pluto[12105]: |    initiator cookie:
Apr 27 21:09:40 Linux pluto[12105]: |   06 fd 61 b8  86 82 df ed
Apr 27 21:09:40 Linux pluto[12105]: |    responder cookie:
Apr 27 21:09:40 Linux pluto[12105]: |   73 7a af 76  74 f0 39 8b
Apr 27 21:09:40 Linux pluto[12105]: |    next payload type: ISAKMP_NEXT_HASH
Apr 27 21:09:40 Linux pluto[12105]: |    ISAKMP version: ISAKMP Version 1.0
Apr 27 21:09:40 Linux pluto[12105]: |    exchange type: ISAKMP_XCHG_INFO
Apr 27 21:09:40 Linux pluto[12105]: |    flags: ISAKMP_FLAG_ENCRYPTION
Apr 27 21:09:40 Linux pluto[12105]: |    message ID:  a2 80 ad 82
Apr 27 21:09:40 Linux pluto[12105]: |    length: 92
Apr 27 21:09:40 Linux pluto[12105]: | ICOOKIE:  06 fd 61 b8  86 82 df ed 
Apr 27 21:09:40 Linux pluto[12105]: | RCOOKIE:  73 7a af 76  74 f0 39 8b 
Apr 27 21:09:40 Linux pluto[12105]: | peer:  c0 a8 2b 3e Apr 27 21:09:40 Linux pluto[12105]: | state hash entry    25
Apr 27 21:09:40 Linux pluto[12105]: | state object not found Apr 27 21:09:40 Linux pluto[12105]: packet from 192.168.43.62:500: Informational Exchange is for an unknown (expired?) SA
Apr 27 21:09:40 Linux pluto[12105]: | next event EVENT_RETRANSMIT in 10 seconds for #9

请任何人提供有关此问题的最新资料。为什么VPN连接被超时，以及为什么ISAKMP交换在Android和strongswan服务器之间不合适。

Answer 1

我遵循在strongswan中发布的关于设置IKEv1连接的说明。我能够应用这些指令在Jellybean http://wiki.strongswan.org/projects/strongswan/wiki/IOS_28苹果公司%29上建立连接。另外，您是否拥有ipsec.secrets文件中的证书的正确条目，以及是否可以将输出形式logcat发布为racoon？抱歉，我不能对此发表评论，所以我不得不请来