Я использую Linux strongSwan U5.3.5 / K4.4.0-116-generic в Ubuntu 16.04 с клиентом IOS 11 IKEv2.
Соединение могло быть успешно установлено на моем клиенте (IOS 11), и если я перейду на веб-страницу проверки ip, например myip.com показывает адрес VPN-сервера.
Однако я обнаружил, что если я подключаюсь к настроенному порту на том же сервере для HTTPS, он может быть заблокирован моим злым брандмауэром nat, даже если установлен IKEv2.
Я понимаю, что IPSEC создаст туннель через порт 500/4500 и сделает весь трафик зашифрованным. Поэтому мне интересно, как моя компания или другой (национальный) брандмауэр будет различать разный трафик? то есть отбросить мой https-запрос на произвольный порт.
Я пробовал напрямую использовать IP-адрес для доступа, т.е. https: //xx.xx.xx.xx: 12345, но, похоже, это не имеет значения.
Я подозреваю, что этот туннель не является сквозным туннелем (от моего iphone к серверу). Поскольку мой iphone каким-то образом находится за NAT, соединение между IOS и шлюзом моей компании не шифруется. Это причина?
Вот соединение ipsec.conf:
config setup
cachecrls=yes
uniqueids=yes
charondebug=""
conn %default
keyingtries=%forever
dpddelay=30s
dpdtimeout=120s
conn IKEv2-EAP-TLS
auto=add
type=tunnel
keyexchange=ikev2
dpdaction=clear
dpddelay=300s
authby=pubkey
left=%SERVERIP%
leftid=%SERVERIP%
leftsubnet=0.0.0.0/0
leftcert=vpnSrvCert.der
leftsendcert=always
right=%any
rightid=%any
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8,8.8.4.4
rightauth=eap-tls
[Обновление] После некоторых проб и ошибок, я считаю, что причина в том, что описал BillThor. Я обнаружил, что в среде WIFI без цензуры, когда я подключаюсь к порту HTTPS на том же (IKEv2) сервере1, это отдельная ссылка TCP.
С другой стороны, когда я подключился к другому L2TP-серверу2 (не HTTPS) изнутри цензурированного Wi-Fi, я смог успешно подключиться к исходному HTTPS-порту server1.
VPN-трафик легко обнаруживается с помощью проверки пакетов или, в данном случае, только по используемым портам. Вполне возможно, что ваша компания знает, что вы пытаетесь или делаете.
Если вы пытаетесь достичь того же IP-адреса, который вы используете для подключения к VPN, он не будет отправлен в VPN. Как минимум, адрес VPN-сервера подключен напрямую. VPN может иметь возможность маршрутизировать пункт назначения для портов, не используемых VPN.
Поскольку ваша правая сторона находится в частном адресном пространстве 10.0.0.0/8, ваш IP-адрес будет подвергаться трансляции сетевых адресов на вашей стороне. Это может привести к поломке, если несколько устройств в одной локальной сети подключаются к одному и тому же удаленному серверу VPN.
Если вы хотите, чтобы трафик вашего браузера всегда направлялся в VPN, вам необходимо настроить браузер для использования прокси-сервера на адресе, доступном через VPN. Если ваш адрес отображается как ваш локальный IP-адрес, он проходит через VPN.