Estoy usando Linux strongSwan U5.3.5/K4.4.0-116-generic en Ubuntu 16.04 con el cliente IOS 11 IKEv2.
La conexión se pudo establecer exitosamente en mi cliente (IOS 11) y si voy a la página web de verificación de IP, por ejemplo, myip.com, muestra la dirección del servidor VPN.
Sin embargo, descubrí que si me conecto a un puerto personalizado en el mismo servidor para HTTPS, mi malvado firewall nat podría bloquearlo incluso cuando el IKEv2 esté establecido.
Tengo entendido que IPSEC creará un túnel a través del puerto 500/4500 y cifrará todo el tráfico. Por lo tanto, me pregunto cómo distinguirá mi empresa u otro firewall (a nivel nacional) entre diferentes tráficos. es decir, colocar mi solicitud https en un puerto arbitrario.
Intenté usar directamente la dirección IP para acceder, es decirhttps://xx.xx.xx.xx:12345, pero no parece hacer una diferencia.
Mi sospecha es que este túnel no es un túnel de extremo a extremo (de mi iPhone al servidor). Debido a que mi iPhone está detrás de NAT, de alguna manera la conexión no está cifrada desde mi IOS a la puerta de enlace de mi empresa. ¿Es esta la razón?
Aquí está la conexión ipsec.conf:
config setup
cachecrls=yes
uniqueids=yes
charondebug=""
conn %default
keyingtries=%forever
dpddelay=30s
dpdtimeout=120s
conn IKEv2-EAP-TLS
auto=add
type=tunnel
keyexchange=ikev2
dpdaction=clear
dpddelay=300s
authby=pubkey
left=%SERVERIP%
leftid=%SERVERIP%
leftsubnet=0.0.0.0/0
leftcert=vpnSrvCert.der
leftsendcert=always
right=%any
rightid=%any
rightsourceip=10.10.10.0/24
rightdns=8.8.8.8,8.8.4.4
rightauth=eap-tls
[Actualización] Después de algunas pruebas y errores, creo que el motivo es lo que BillThor ha descrito. Descubrí que en un entorno WIFI sin censura, cuando me conecto al puerto HTTPS en el mismo servidor1 (IKEv2), es un enlace TCP separado.
Por otro lado, cuando me conecté a otro servidor L2TP2 (no al HTTPS) desde un WIFI censurado, pude conectarme con éxito al puerto HTTPS del servidor1 original.
Respuesta1
El tráfico VPN se detecta fácilmente mediante la inspección de paquetes o, en este caso, simplemente mediante los puertos en uso. Es muy posible que su empresa esté al tanto de lo que está intentando o haciendo.
Si intenta alcanzar la misma dirección IP que utiliza para conectarse a la VPN, no se enviará a la VPN. Como mínimo, la dirección del servidor VPN está conectado directamente. Es posible que la VPN pueda enrutar el destino a puertos que no utiliza la VPN.
Como su lado derecho está en el espacio de direcciones privadas 10.0.0.0/8, su dirección IP se someterá a la traducción de direcciones de red por su parte. Esto es propenso a fallar si varios dispositivos en la misma LAN se conectan al mismo servidor VPN remoto.
Si desea que el tráfico de su navegador siempre se dirija a la VPN, deberá configurar su navegador para utilizar un servidor proxy en una dirección accesible a través de la VPN. Si su dirección se muestra como su dirección IP local, está atravesando la VPN.