华硕网络产品技术交流平台

标题: IPSec VPN如何设置=＞“PPTP”&“OpenVPN”相关问题 [打印本页]

作者: zsnh_khy 时间: 2023-4-4 08:10
标题: IPSec VPN如何设置=＞“PPTP”&“OpenVPN”相关问题
本帖最后由 zsnh_khy 于 2023-4-5 00:11 编辑

本来想通过PPTP VPN建立链接的，不过安卓12之后就没有这个协议了，

找了大半天的第三方客户端也没找到，
于是想用IPSec VPN的方式建立链接，我都按教程设置好了，但是始终连不上，导致输入用户名/密码的弹窗都不会出来。
[VPN] 如何在 Android 上使用 IPSec VPN 连接 | 官方支持 | ASUS 中国

看了下Log好像是返回的包超时导致的，有没有大神弄过的指点一下，谢谢！

Apr  4 07:32:14 06[NET] received packet: from 客户端IP[18268] to 服务器IP[500] (652 bytes)
Apr  4 07:32:14 06[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) N(REDIR_SUP) ]
Apr  4 07:32:14 06[IKE] 客户端IP is initiating an IKE_SA
Apr  4 07:32:14 06[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
Apr  4 07:32:14 06[IKE] remote host is behind NAT
Apr  4 07:32:14 06[IKE] DH group MODP_2048_256 unacceptable, requesting ECP_256
Apr  4 07:32:14 06[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) V ]
Apr  4 07:32:14 06[NET] sending packet: from 服务器IP[500] to 客户端IP[18268] (58 bytes)
Apr  4 07:32:14 07[NET] received packet: from 客户端IP[18268] to 服务器IP[500] (460 bytes)
Apr  4 07:32:14 07[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) N(REDIR_SUP) ]
Apr  4 07:32:14 07[IKE] 客户端IP is initiating an IKE_SA
Apr  4 07:32:14 07[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
Apr  4 07:32:14 07[IKE] remote host is behind NAT
Apr  4 07:32:14 07[IKE] sending cert request for "C=TW, O=ASUS, CN=ASUS RT-AC86U-B920 Root CA"
Apr  4 07:32:14 07[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) V ]
Apr  4 07:32:14 07[NET] sending packet: from 服务器IP[500] to 客户端IP[18268] (317 bytes)
Apr  4 07:32:44 07[JOB] deleting half open IKE_SA with 客户端IP after timeout
Apr  4 07:32:46 05[NET] received packet: from 客户端IP[18296] to 服务器IP[500] (652 bytes)
Apr  4 07:32:46 05[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) N(REDIR_SUP) ]
Apr  4 07:32:46 05[IKE] 客户端IP is initiating an IKE_SA
Apr  4 07:32:46 05[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
Apr  4 07:32:46 05[IKE] remote host is behind NAT
Apr  4 07:32:46 05[IKE] DH group MODP_2048_256 unacceptable, requesting ECP_256
Apr  4 07:32:46 05[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) V ]
Apr  4 07:32:46 05[NET] sending packet: from 服务器IP[500] to 客户端IP[18296] (58 bytes)
Apr  4 07:32:46 07[NET] received packet: from 客户端IP[18296] to 服务器IP[500] (460 bytes)
Apr  4 07:32:46 07[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) N(REDIR_SUP) ]
Apr  4 07:32:46 07[IKE] 客户端IP is initiating an IKE_SA
Apr  4 07:32:46 07[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
Apr  4 07:32:46 07[IKE] remote host is behind NAT
Apr  4 07:32:46 07[IKE] sending cert request for "C=TW, O=ASUS, CN=ASUS RT-AC86U-B920 Root CA"
Apr  4 07:32:46 07[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) V ]
Apr  4 07:32:46 07[NET] sending packet: from 服务器IP[500] to 客户端IP[18296] (317 bytes)
Apr  4 07:33:16 05[JOB] deleting half open IKE_SA with 客户端IP after timeout

有没有可能是我手机的连接类型问题
路由器推荐类型是：“IPSec / Xauth PSK”
Android 12手机目前只有3种类型，其中选择都是PSK的：“IKEV2/IPSec PSK”

================================================
再经过这几天反复的折腾总结出了如下几点：
1、PPTP VPN在安卓13上是无法使用的。
2、安卓自带VPN设置里也没有“IPSec / Xauth PSK”的类型。
3、最后通过“OpenVPN connect” App导入路由器开通“OpenVPN”后生成的".ovpn"文件来建立新的链接，成功外网连接上局域网。外网环境比较好的情况下，如下4、5点都很不错，即使快进也不怎么卡顿。而且比PPTP还安全一些。
4、MXPlayer通过SMB方式访问，可快速播放网盘里的视频。
5、nPlayer通过FTP方式访问，可快速播放网盘里的视频。

作者: Master 时间: 2023-4-4 11:04
应该还是手机提供的VPN类型缺少IPSec Xauth PSK导致的。

我的ZenFone7手机，同样是Android 12系统，VPN类型包含IPSec Xauth PSK。

作者: Sprite 时间: 2023-4-7 17:41
新的Android系统选择使用 IKEV2/IPSec MS ChapV2来连接 IPSec Server,
需要手机导入IPSec Server提供的证书+ 账密 ,另外IPSec标识符任意输入即可

作者: zsnh_khy 时间: 2023-4-12 14:21

Sprite 发表于 2023-4-7 17:41
新的Android系统选择使用 IKEV2/IPSec MS ChapV2来连接 IPSec Server,
需要手机导入IPSec Server提供的证 ...

真的呀，我之前导入过证书，但没想到还要在VPN界面选择该CA证书才行。
现在导入后再选择证书，确实可以通过 IKEv2/IPSec MSCHAPv2的类型连接了！
谢谢大神！

欢迎光临华硕网络产品技术交流平台 (https://www.52asus.com/)