私は、IOS 11 IKEv2 クライアントを搭載した Ubuntu 16.04 で Linux strongSwan U5.3.5/K4.4.0-116-generic を使用しています。
クライアント (IOS 11) で接続を正常に確立でき、IP チェック Web ページ (例: myip.com) にアクセスすると、VPN サーバーのアドレスが表示されます。
ただし、HTTPS 用に同じサーバー上のカスタマイズされたポートに接続すると、IKEv2 が確立されていても、悪意のある NAT ファイアウォールによってブロックされる可能性があることがわかりました。
私の理解では、IPSEC はポート 500/4500 を介してトンネルを作成し、すべてのトラフィックを暗号化します。したがって、会社または他の (国家レベル) ファイアウォールがどのようにして異なるトラフィックを区別するのか疑問に思っています。つまり、任意のポートで https 要求をドロップするのです。
IPアドレスを使って直接アクセスしてみました。https://xx.xx.xx.xx:12345、しかし違いはないようです。
このトンネルはエンドツーエンド (iPhone からサーバー) のトンネルではないのではないかと思います。iPhone が NAT の背後にあるため、IOS から会社のゲートウェイへの接続が暗号化されません。これが原因でしょうか?
ipsec.conf の接続は次のとおりです。
config setup
cachecrls=yes
uniqueids=yes
charondebug=""
conn %default
keyingtries=%forever
dpddelay=30s
dpdtimeout=120s
conn IKEv2-EAP-TLS
auto=add
type=tunnel
keyexchange=ikev2
dpdaction=clear
dpddelay=300s
authby=pubkey
left=%SERVERIP%
leftid=%SERVERIP%
leftsubnet=0.0.0.0/0
leftcert=vpnSrvCert.der
leftsendcert=always
right=%any
rightid=%any
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8,8.8.4.4
rightauth=eap-tls
[更新] 試行錯誤した結果、原因は BillThor が説明した通りだと考えています。検閲のない WIFI 環境で、同じ (IKEv2) サーバー 1 の HTTPS ポートに接続すると、別の TCP リンクになることがわかりました。
一方、検閲された WIFI 内から別の L2TP サーバー 2 (HTTPS ではない) に接続すると、元のサーバー 1 の HTTPS ポートに正常に接続できました。
答え1
VPN トラフィックはパケット検査によって簡単に検出されますが、この場合は使用中のポートによってのみ検出されます。あなたの会社があなたが何をしようとしているのか、何をしているのかを認識している可能性は十分にあります。
VPN への接続に使用しているのと同じ IP アドレスにアクセスしようとしている場合、その IP アドレスは VPN に送信されません。少なくとも、VPN サーバーのアドレスは直接接続されます。VPN は、VPN で使用されていないポートの宛先をルーティングできる場合があります。
右側は 10.0.0.0/8 プライベート アドレス空間にあるため、IP アドレスはお客様側でネットワーク アドレス変換されます。同じ LAN 上の複数のデバイスが同じリモート VPN サーバーに接続している場合、これが破損しやすくなります。
ブラウザのトラフィックを常に VPN にルーティングしたい場合は、VPN 経由で到達可能なアドレスのプロキシ サーバーを使用するようにブラウザを設定する必要があります。アドレスがローカル IP アドレスとして表示される場合は、VPN を通過しています。