iOS 8 IKEv2 Ondemand 的蛋疼问题，目前无解

You need to sign in to view this topic

This topic created in 4257 days ago, the information mentioned may be changed or developed.

由于IKEv2具备Mobike的功能，iOS也继承了这一点，但是它做的真尼玛蛋疼。具体表现为（以下的前提是你设置了Ondemand或者Alwayson的rule）：

1，假设你现在连接3G，wifi没有打开，当你访问任何网站的时候，VPN会自动连接。然后你打开WIFI，按理说此刻网络流量应该全部走WIFI了，VPN应该自动断开并且自动重连接，但iOS蛋疼的是，它不断开！！！接下来你的所有流量都经由3G的VPN，与WIFI半毛钱关系也没有！！！

2，假设你在现在连着WIFI，并且VPN是关闭状态（比如你手动关闭了），此时上任何网站，VPN都会自动重连，然后再关闭WIFI，此时VPN断开了，但是它却是『正在连接』状态，它在等待你的WIFI重新联网，此时此刻，你的3G网络形同虚设，根本没用，任何网站都打不开。。。除非你再打开WIFI，它就会自动现实已连接。

总结一下就是，IKEv2在iOS上，它会坚持等待它拨号的时候通过的那个网络，如果那个网络关闭了，那么，他会一直等待，然后让其他网络根本无法用，其实iOS上就2个网络，WIFI和Cellular。这与IKEv2的mobike功能相悖。。。也就是说iOS上的IKEv2不能在WIFI和Cellular之间漫游！！！

以上测试在iOS 8.1 beta 2上完成，服务器用的Debian+Strongswan 5.2.0，为此我也咨询了12vpn这个服务商，他们的回复跟我遇到的情况一模一样：

Unfortunately this is standard behaviour for iOS and OS/X. Existing connections will stay on the old network if the old network is still available.

You've found that VPN will use cellular if WiFi is switched on after the VPN connected. The same is true for other connections: if you connect something else first, then connect the VPN, the old connection will not use the VPN.

I agree that it would be better if the VPN can reconnect automatically when you change networks. In fact, IKEv2 can technically do this, but it's up to Apple to enable it.

Supplement 1 · Oct 11, 2014

所以目前，只能用ipsec ikev1了，表现基本完美。。。但就是受不了ikev2的那些新特性和新的诱惑。。。

Supplement 2 · May 5, 2015

iOS 8.3已经解决这个问题了。

IKEv2

VPN

WiFi

21 replies • 2015-11-17 18:26:30 +08:00

GPU

Oct 10, 2014

感觉好无奈。

1nt

Oct 10, 2014

是啊，可能是由于新加入的特性吧，
我用的也是 12vpn 家的，
iKEv2 有时候明明状态栏有 VPN 图标，却打不开任何网站。。。

还是 AnyConnect 好用，就是速度太太太太慢，
用了换端口/切换 DTLS 到 TLS都不会超过 2Mbps

cattyhouse

Oct 11, 2014

@1nt 对的，自从iOS8之后，anyconnect速度就超不过2Mbps，所以不用了。。。

cattyhouse

Oct 11, 2014

@1nt 我看了你在纠结ipsec或者ikev2 alwayson的问题，其实你只需要修改一下ondemandrules 为下面的，就实现了，不需要把设备变成监督模式。你可以在12vpn的配置文件基础上做简单的修改，只需要覆盖他们给的那个OnDemandRules部分，不通过任何网址出发，只要联网，就自动拨VPN。但IKEv2有我说的这个bug，所以我现在用IPSEC的IKEv1，同样是这个代码，一样实现alwayson：

<key>OnDemandEnabled</key>
<integer>0</integer>
<key>OnDemandRules</key>
<array>
<dict>
<key>Action</key>
<string>Connect</string>
</dict>
</array>

1nt

Oct 11, 2014

@cattyhouse 非常感谢！试了下可用。

goodbest

Oct 11, 2014

为啥你们都执着于全局vpn，而我只想让vpn在访问特定网站时启用...

但是ikev2的路由我又配置不了，见
http://v2ex.com/t/137653#reply60

cattyhouse

Oct 11, 2014 via iPhone

@goodbest 我执着于自动按需连接的vpn

goodbest

Oct 11, 2014

@cattyhouse 我也执着于自动按需连接的vpn，但我也执着于不需的时候自动断(或者bypass)的vpn...

fuck010bj

Oct 11, 2014

这个是不是在设置里打开VPN开关后所有的都走VPN，而关掉后就不走VPN？像一般的L2TP那样的，我觉得那样适合大多数人

1nt

Oct 11, 2014

@goodbest

我执着于全局是因为网络环境问题，
需要无时无刻保持 VPN 加密发送所有流量，
而不是单纯的为了翻墙

lex

Oct 12, 2014

https://bugreport.apple.com/
去提 bug 吧，不说定 8.1 GM 就修正了。

troyl

Jan 4, 2015

IKEv2 on iOS 8 has a fatal bug, after the connection established on a Wi-Fi, if your iPhone’s network changes to Cellular, the connection will not disconnect automatically, it will show “connecting”, until you reconnect to the Wi-Fi, well under this situation, the network is still accessible on Cellular but without a VPN protection. If you connect the IKEv2 vpn on Cellular, then you turn Wi-Fi on, the connection will not disconnect nor show “connecting”, but all the traffic will go through Cellular.

cattyhouse

Jan 4, 2015

@troyl 这就是我写的吧？

troyl

Jan 5, 2015 via iPhone

@cattyhouse 是的，我在搜相关文档的时候看见有人指出来这个问题，想起这个帖子，就复制过来了。双重确认~

fuck010bj

Apr 16, 2015

8.3 这个问题没有了正在用

cattyhouse

Apr 16, 2015 via iPhone

@fuck010bj 修复了？真的假的？看来我的那个bug report有效了？

fuck010bj

Apr 16, 2015

@cattyhouse 我用的时候WIiFi连上VPN，直接关掉WIiFi，然后连上4G，VPN就自动连上了

cattyhouse

Apr 16, 2015

@fuck010bj 试试这个步骤：连上WIFI －拨VPN －在不断开VPN的情况下，关闭WIFI。然后看VPN可否自动拨上？

fuck010bj

Apr 16, 2015

@cattyhouse 我就是这样搞的，能自动拨上并且能用推特。

cattyhouse

Apr 16, 2015 via iPhone

@fuck010bj 非常赞！感谢。

xuJaff

Nov 17, 2015

我用的 strongSwan 搭建的 vpn 服务器，安卓的 ipsec 和 ikev2 都支持， iOS 端支持 ipsec 但是不支持 ikev2 ikev2 证书怎么配置的大神们能指点指点吗