@bao3童鞋废寝忘食的折腾黑莓VPN的解决方法,总算有了结果:chinablock.me/bbvpn(需翻墙),他那是在Debian下安装racoon搞定的,可是我的VPS上系统是Xen CentOS的,所以方法略有不同,配置文件基本上按他上面的做法,同时参考了这里的解决方案,在此感觉他们的努力。
1. 安装IPSec-tools/racoon
[bash]
#32bit
wget ftp://ftp.pbone.net/mirror/ftp.pramberger.at/systems/linux/contrib/rhel5/i386/ipsec-tools-0.8.0-1.el5.pp.i386.rpm
wget ftp://ftp.pbone.net/mirror/ftp.pramberger.at/systems/linux/contrib/rhel5/i386/ipsec-tools-libs-0.8.0-1.el5.pp.i386.rpm
yum localinstall –nogpgcheck ipsec-tools-libs-0.8.0-1.el5.pp.i386.rpm ipsec-tools-0.8.0-1.el5.pp.i386.rpm
#Add for 64bit
wget ftp://ftp.pbone.net/mirror/ftp.pramberger.at/systems/linux/contrib/rhel5/x86_64/ipsec-tools-0.8.0-1.el5.pp.x86_64.rpm
wget ftp://ftp.pbone.net/mirror/ftp.pramberger.at/systems/linux/contrib/rhel5/x86_64/ipsec-tools-libs-0.8.0-1.el5.pp.x86_64.rpm
yum localinstall –nogpgcheck ipsec-tools-libs-0.8.0-1.el5.pp.x86_64.rpm ipsec-tools-0.8.0-1.el5.pp.x86_64.rpm
[/bash]
2. 配置(说明参见@bao3童鞋的文章)
[text]
path pre_shared_key “/etc/racoon/psk.txt”;
path certificate “/etc/racoon/certs”;
log warning;
remote anonymous {
exchange_mode aggressive;
lifetime time 1440 min;
initial_contact on;
verify_identifier on;
mode_cfg on;
ike_frag on;
passive on;
proposal_check obey;
generate_policy unique;
nat_traversal on;
dpd_delay 200;
proposal {
encryption_algorithm aes 256; #3des,des;
hash_algorithm sha1;
authentication_method xauth_psk_server; #pre_shared_key;
dh_group 2;
}
}
sainfo anonymous {
lifetime time 10 min;
encryption_algorithm aes 256, 3des, blowfish;
authentication_algorithm hmac_sha1, hmac_md5;
#compression_algorithm deflate;
compression_algorithm lzs;
}
padding {
#to hinder guessing
randomize on;
randomize_length on;
strict_check off;
exclusive_tail on;
}
mode_cfg {
auth_source system;
conf_source local;
default_domain “local”;
pool_size 10;
network4 10.0.88.100;
netmask4 255.255.255.0;
dns4 8.8.8.8;
banner “/etc/racoon/motd”;
auth_throttle 3;
#pfs_group 2;
}
[/text]
3. 修改psk.txt(自个修改test部分)
# cat /etc/racoon/psk.txt
#group name group Secret
test test
4. 添加欢迎词motd(可选)
# cat /etc/racoon/motd
Welcome to IPSec world!
5. 修改iptables
请参考《VPN在Xen和OpenVZ下配置iptables的差别》Xen部分
[bash]
iptables -A INPUT -p udp -m udp –dport 500 -j ACCEPT
iptables -A INPUT -p udp -m udp –dport 4500 -j ACCEPT
iptables -A INPUT -p esp -j ACCEPT
iptables -A FORWARD -s 10.0.88.0/255.255.255.0 -j ACCEPT
iptables -A POSTROUTING -s 10.0.88.0/255.255.255.0 -o eth0 -j MASQUERADE
service iptables save
service iptables restart
[/bash]
补充:如果执行“iptables -A POSTROUTING”报错:iptables: No chain/target/match by that name
原因是没有指定nat表为缺省表,解决方法是增加“-t nat”参数,参见:http://is.gd/3PFk4O
iptables -t nat -A POSTROUTING -s 10.0.88.0/255.255.255.0 -o eth0 -j MASQUERADE
5. 修改net.ipv4.ip_forward为1
[bash]
sed -i ‘s/net.ipv4.ip_forward = 0/net.ipv4.ip_forward = 1/g’ /etc/sysctl.conf
sysctl -p
[/bash]
6. 添加racoon服务并启动
[bash]
chkconfig racoon on
service racoon start
[/bash]
调试命令:# racoon -d -F -f /etc/racoon/racoon.conf
如果没有出错按Ctrl+C退出程序,然后以服务方式运行,输出日志:
cat /var/log/messages
清空日志再调试:
cat /dev/null > /var/log/messages
7. 黑莓客户端配置
搜索“Cisco IPSec VPN 安装配置说明”,可以找到好多PDF文件,照着方案一,注意几个容易出错的地方:
a) 启动扩展验证(Enable extended authentication)要钩选
b) IPSec加密和无用数据组选IKE密钥(比如AES 256)和IKE无用数据(比如HMAC SHA1 160)两部分的组合(比如AES256-SHA1)。
c) 登录组用前面第3步的设置,用户用VPS的用户,可以用“useradd username -s /sbin/nologin -M”新建。
配置说明的一个链接供参考:Cisco_IPSec_VPN_Guide_for_BlackBerry_v1.3.pdf
8. 问题
a) ERROR: racoon: MLS support is not enabled. // 忽略之
b) ERROR: libipsec failed pfkey open (Address family not supported by protocol) // 你的VPS不支持modprobe af_key,估计没戏了,参考http://blog.csdn.net/open_free_share/article/details/5159112
c) ERROR: no suitable proposal found. // 没钩前面第7条a)项。
9. 验证
按前面的配置说明成功连接后下载Twitter官方客户端,手机自带浏览器访问http://blackberry.com/twitter(直连),没有黑莓App帐户选第二个按钮完成安装。
如果先运行Twitter客户端再开启VPN可能会登录失败,解决办法是重启或杀进程(含twitter_lib进程?)。
总结:黑莓能走VPN的程序太少了,Twitter官方客户端能行,黑莓自带浏览器不行,据说ucweb可行,没试过。
PS. 只能走WIFI,多谢@ffxk的补充。
残废,只能在wifi下使用
我忘了说这点了,多谢补充
请问黑莓os 6 os 7都可以吗?
以前就在vps上配置过ipsec,总是不成功,不能加载racoon.conf中的配置,我依次把每条语句注释后,重新加载racoon,发现在racoon.conf文件中不能有remote anonymous的选项,注释后可以启动racoon,取消注释后,racoon就不能打开,完全照你的文章配置,也同样不成功,提示
2012-10-01 20:53:45: INFO: Reading configuration from “/etc/racoon/racoon.conf”
2012-10-01 20:53:45: DEBUG: call pfkey_send_register for AH
2012-10-01 20:53:45: DEBUG: call pfkey_send_register for ESP
2012-10-01 20:53:45: DEBUG: call pfkey_send_register for IPCOMP
2012-10-01 20:53:45: DEBUG: reading config file /etc/racoon/racoon.conf
2012-10-01 20:53:45: ERROR: /etc/racoon/racoon.conf:8: “e” syntax error
2012-10-01 20:53:45: ERROR: fatal parse failure (1 errors)
racoon: failed to parse configuration file.
老大你能解决这个问题吗,还是我的vps不支持
看你这错误提示应该是有拼写错误吧,仔细检查一下吧,我没碰到此类问题。
有个网友的VPS上配的VPN在OS5.0上没问题但在OS6.0下连不上,我也没找到解决办法。
有一事不明,VPN用户组设置后,Cisco的登录用户密码在哪里设置?
求帮助
参见这里的截屏: http://lordong.pw/wp/post/1423.html
哈哈其实我问的是VPS上的,后来一想 不就是添加账户密码么….就搞定了.谢谢你的博客
hi.我按你的文章做到了第6步,但是我的设备是安卓,如何在安卓上配置客户端方面的东西?
另外windows桌面系统可以用这个方法连接vpn吗