監視対象の(常時オンの)iOSVPNクライアントへのVPNサーバーとしてstrongSwanを使用する。サーバーへの2つの関連付けは、iOSクライアントによって確立されます。どうして?
サーバーでrightsourceip=%dhcpを使用しているため、2つのクライアントが同じleftidを持つことはできません。
rightsourceip=%dhcpを使用する前に、uniqueids=neverと10.0.2.0/24を使用して、同じleftidを持つ複数のクライアントを許可しましたが、rightsourceip=%dhcpでは機能しないようです。 (私は何か間違ったことをしていますか?).
監視対象の(常時オンの)iOSVPNクライアントが2つの関連付けを確立しているように見えます。1つはLTE)を介して、もう1つはWi-Fiを介して... VPNサーバーへの接続を切断します。サーバーはそうではないと思います。パケットをどのアソシエーションに送信する必要があるかを知っています...そしておそらく、Wi-Fiが起動すると、iOSは両方のインターフェイスでリッスンしません。
どうすればこれを修正できますか?また、rekeying disabledはどういう意味ですか?
Security Associations (5 up, 0 connecting):
ikev2[7]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...207.46.13.62[[email protected]]
ikev2[7]: IKEv2 SPIs: 0a53e7fec5e65e2b_i 2d03da3fce35f91c_r*, rekeying disabled
ikev2[7]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
ikev2{7}: INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: c468b92b_i 00006960_o
ikev2{7}: AES_GCM_16_256, 8795 bytes_i (22 pkts, 0s ago), 4983 bytes_o (19 pkts, 41s ago), rekeying disabled
ikev2{7}: 0.0.0.0/0 === 10.0.2.13/32
ikev2[6]: ESTABLISHED 65 seconds ago, 159.203.26.109[my-vpn.com]...157.55.39.61[[email protected]]
ikev2[6]: IKEv2 SPIs: e2a7434252a49075_i fe57e34b97ba086e_r*, rekeying disabled
ikev2[6]: IKE proposal: AES_GCM_16_256/PRF_HMAC_SHA2_384/MODP_3072
ikev2{6}: INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: cdc9dd9c_i 0ec723e6_o
ikev2{6}: AES_GCM_16_256, 8170 bytes_i (122 pkts, 0s ago), 0 bytes_o, rekeying disabled
ikev2{6}: 0.0.0.0/0 === 10.0.2.13/32
ピアが同じIDで複数のIKE_SAを作成し、それが一意性ポリシーによって防止されていない場合、クライアントごとに複数の仮想IPが正しく機能する必要があります(前述のように、サーバーは仮想IP宛てのパケットを送信できるのは2つのトンネル)。
したがって、DHCPやRADIUSのようなバックエンドで静的リースを割り当てるのは難しい場合があります。通常、IDとIPアドレスのマッピングは1:1であるためです。DHCP/ RADIUSサーバーの実装によっては、複数のIPを同じIDに割り当てさせます(たとえば、複数の静的リースを構成するか、ID以外の他のパラメーターを検討することにより、それぞれのドキュメントを参照してください)。それ以外の場合は、バックエンドサーバーの構成を変更する必要があります(DHCPの場合はプラグインの)動的リースがクライアントに割り当てられるようにします。
また、
rekeying disabled意味?
そのアクティブキーの再生成は構成で無効になっています(例:rekey=no)。 IKEデーモンは、クライアントからのキーの再生成要求に引き続き応答します。