itiger88

@Balthild
问题是我都是同一台手机，同一个 4G 环境，唯一不同就是 strongswan 的版本，难道 5.3.5 和 5.4.0/5.5.0/5.5.1 对 AES-256 加密方式有所区别？

cat /usr/local/etc/ipsec.conf
-------------------------
config setup
uniqueids=never

conn iOS_cert
keyexchange=ikev1
fragmentation=yes
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=pubkey
rightauth2=xauth
rightsourceip=10.31.2.0/24
rightcert=client.cert.pem
auto=add

conn android_xauth_psk
keyexchange=ikev1
left=%defaultroute
leftauth=psk
leftsubnet=0.0.0.0/0
right=%any
rightauth=psk
rightauth2=xauth
rightsourceip=10.31.2.0/24
auto=add

conn networkmanager-strongswan
keyexchange=ikev2
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=pubkey
rightsourceip=10.31.2.0/24
rightcert=client.cert.pem
auto=add

conn ios_ikev2
keyexchange=ikev2
ike=aes256-sha256-modp2048,3des-sha1-modp2048,aes256-sha1-modp2048!
esp=aes256-sha256,3des-sha1,aes256-sha1!
rekey=no
left=%defaultroute
leftid=${vps_ip}
leftsendcert=always
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=eap-mschapv2
rightsourceip=10.31.2.0/24
rightsendcert=never
eap_identity=%any
dpdaction=clear
fragmentation=yes
auto=add

conn windows7
keyexchange=ikev2
ike=aes256-sha1-modp1024!
rekey=no
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=eap-mschapv2
rightsourceip=10.31.2.0/24
rightsendcert=never
eap_identity=%any
auto=add

我今天继续测试，在 centos6.7 mini iso 安装环境下， yum install 安装二进制包 （ strongswan-5.4.0-2.el6 ）， 发现这版本对安卓手机的 psk 方式都兼容性同样不行，能拨号成功，但是 ping 外网 ping 不通，当然就不能上网。

@Vicer 上网查了一番，终于成功在手机导入证书了，在 2 个软件界面各自不同的地方导入法。现在利用你给的测试 vpn 地址测试过，我的手机没 root 的情况下真的不支持 no route 指令。明天测试下 custom-header 看行不！

@Vicer 华为 mate8 手机导入你的 https://free.vicer.xyz:6619/no-UserVPN.p12 报错，文件管理器点击安装，报“安装失败，无法读取证书文件”。 而该证书导入 win10 的就没问题，而我中午自己生成的证书文件 .p12 也导入不进我的安卓手机，这是什么原因呢？ 你有没有试过，还是直接在 OpenConnect 1.11 指定这证书文件就好？

@Vicer 我一直都是用管理员权限运行 AnyConect 的。刚刚用公司联通的专线（广州）测试你的 2 个服务器，都能成功拨入，就是得直接双击导入.p12 证书文件（直接双击是导入到 MMC 的“证书”中的“本地计算机中”的“个人”，），之前上面的做法是我以前 IKEv2 证书的导入方式（导入到的是 MMC 中“证书”中的“本地计算机中”的“受信任的根证书颁发机构”），后者能拨号 IKEv2 ，但是不能拨号 ocserv 。。。
刚刚困扰我半天自己服务器证书搭建后，用 win10+证书登录不上同样是这个原因，证书文件导入方式错误！
当时 ocserv 报错为： Oct 19 14:07:09 xxxx ocserv[7783]: GnuTLS error (at worker-vpn.c:595): Error in the certificate.
特此记录给有心搞证书登录的同好知道。

另外 Vicer ，我现在是在香港阿里云上租用最便宜那款主机 8 美金 /月 /2T 流量 /30M 峰值带宽，打算给公司同事用，我后来改了 ocserv.conf 中的 DNS ，加入阿里云内部 10.x.x.x 的 DNS 地址，这个 DNS 没有被污染，而且解释国内网站比较好，比起 8.8.8.8 少了几十毫秒的延时呀（从 vps 过去 DNS 才 0.0x 毫秒）， 使用 no-route 模式配置，电脑端用起来很好的体验效果， 163.com 等打开都很快（分别验证 www.ip138.com 和 bgp.he.net 成功显示不同 IP ），比起我昨天用别的地区的服务器测试好多了，真的是专门的到 VPS 最快的无污染的 DNS 比较好。

等下有空继续测试证书方式下在安卓手机无 root 情况下能否支持 no-route 方式，网上有文说不行。如果不行再测试 custom-header = "X-CSTP-Split-Exclude:123.58.180.0/255.255.255.0" 这种别的文章提到的方式