OpenSwan安装配置和VPN规则的生成-USB迷|专注于互联网分享

2024年3月7日发(作者：纪芳芳)

测

Symbian、Android、iPhone和Windows Mobile所支持的VPN协议 »

在诺基亚S60手机上使用VPN之二：OpenSwan安装配置和VPN规则的生成

这一部分的读者对象是喜欢自己折腾而对VPS和VPN有一定配置经验的用户。只是想知道如何在诺基亚Symbian S60手机上使用VPN的读者请参看第一部分。

对于塞班手机上的VPN还有一个常见的说法是服务器端需要安装Cisco等昂贵的专用网络设备，而且配置复杂。根据诺基亚mVPN客户端的官方文档，所支持的IPSec VPN网关列表中确实都是一些网络设备制造商的专用产品。但自己搭建过L2TP VPN的网友应该知道Linux上有OpenSwan、FreeS/Wan和strongSwan（它们实际是同一个项目的不同分支）等免费的开源 IPSec软件包，而IPSec正是塞班mVPN所支持的协议。至于说配置复杂，我看到过诺基亚论坛上有国外网友说：“诺基亚对mVPN客户端配置问题的官方回复是——请向你的系统管理员查询，可我自己就是系统管理员，我该去问谁呢。”如果从阅读相关文档以弄懂每一个参数该如何设置开始，S60手机+OpenSwan的VPN方案配置起来确实比较复杂，但如果找到一个可以工作的模板，很可能只要简单的修改一下服务器地址、验证密钥这些因人而异的参数，拷贝到自己的机器上就能用了。本教程就是试图提供这样一个模板的尝试。但在实际使用中，由于mVPN客户端的V3.1和V4的差异，网络运营商的不同，所用VPS的区别，可能需要更多的调整。这些细节大部分会放在专门讨论各种高级设置的第三部分介绍。

首先你需要一台服务器来安装OpenSwan（好像选择另外两个分支的人现在很少），我用的是PhotonVPS的Xen虚拟服务器（可用的CPU有16核，UnixBench的分数随便就能到450，对于我这种对性能有偏执的用户来说足以让人忽略他们其它方面的缺点了）。我试过在启用了 TUN/TAP设备并成功安装了OpenVPN的OpenVZ VPS上运行OpenSwan，但会提示缺少某个内核模块，似乎是内核没有包含IPSec支持的原因。所以目前假定所用VPS必须是基于Xen，至于是否还有其它的配置要求，我就不确定了。

使用CentOS的用户可以用：

sudo yum install openswan

命令来安装IPSec VPN网关，发行版中的源是U2.6.21。这个版本可以工作，但下一部分要讨论的高级设置可能需要包含了某些Bug fix的最新版本（但像一些例子中提到过的“authby=secret|rsasig”这种参数设置在我用过的版本中都无效，所以不能确定版本越新越好）。最新的rpm包可以用

sudo wget

/download/binaries/centos/5/without-nss/openswan-2.6.24rc5-1.x86_

命令下载（32位OS用户请自行下载适用版本），用

sudo rpm -i openswan-2.6.24rc5-1.x86_

命令安装。Debian用户用

sudo apt-get install openswan

命令安装的是U2.4.12版，我没有测试过这个版本，因为在Debian下都是下载源码编译的，具体细节将在下一部分讲修改源码的时候介绍。

在Google中搜索“OpenSwan 安装”可以找到不少资料，虽然不完全对得上（不同Linux发行版以及从二进制包安装或从源码编译会有所不同），但可以作为参考而不需我在这个问题上深入下去了。关键的几个配置文件为全局配置“/etc/”，内容如下（并不是说里面的参数必须如此设定，而是提供一个我自己确认能用的配置）：

# /etc/ – Openswan IPsec configuration file

# Manual: .5

# Please place your own config files in /etc/ipsec.d/ ending in .conf

version 2.0

# conforms to second version of specification

# basic configuration

config setup

# Debug-logging controls: “none” for (almost) none, “all” for lots.

# klipsdebug=none

# plutodebug=”control parsing”

# For Red Hat Enterprise Linux and Fedora, leave protostack=netkey

protostack=netkey

nat_traversal=yes

interfaces=%defaultroute

virtual_private=%v4:192.168.0.0/16,%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:!192.168.0.0/24

oe=off

# Enable this if you see “failed to find any available worker”

nhelpers=0

#You may put your configuration (.conf) file in the “/etc/ipsec.d/” and

uncomment this.

include /etc/ipsec.d/*.conf

全局验证密钥“/etc/s”，内容如下：

include /etc/ipsec.d/*.secrets

连接配置“/etc/ipsec.d/”（可以有多个，名字不限，但这牵涉到高级设置中的问题了，本部分只以单一连接为例），内容如下：

conn e63

# Key exchange

ike=aes256-sha1-modp1536

# Data exchange

esp=aes256-sha1

# Authentication method PSK

authby=secret

auto=add

keyingtries=3

# Modeconfig setting

modecfgpull=yes

pfs=no

rekey=no

type=tunnel

compress=yes

# local endpoint

left=%defaultroute

leftsourceip=192.168.6.1

leftsubnet=0.0.0.0/0

leftrsasigkey=none

leftmodecfgserver=yes

leftxauthserver=yes

# remote endpoint

rightrsasigkey=none

right=%any

rightxauthclient=yes

rightmodecfgclient=yes

rightsourceip=192.168.6.252

rightsubnet=192.168.6.252/32

连接验证密钥“/etc/ipsec.d/s”，引号中为作为验证密钥的字符串：

: PSK “StringUsedAsPreSharedKey”

本文给出了范例中除了使用PSK验证方式外，还是用了Xauth验证，也就是说连上IPSec VPN服务器后，还需要输入预先设置的用户名和密码，对应的服务器设置为

“leftxauthserver/rightxauthclient=yes”。觉得没必要的读者可以把“yes”改成“no”并修改手机端VPN规则中的相应部分“USE_XAUTH: TRUE”为“FALSE”即可跳过Xauth验证。但部分参考文献中提到Xauth在某些条件下是必须的。Xauth验证的用户名和密码放在“/etc /ipsec.d/passwd”中，生成该文件需要apache-utils软件包中的htpasswd命令：

sudo umask 0027

sudo htpasswd -c -b passwd username1 password1

添加用户的命令为：

sudo htpasswd -b passwd username2 password2

然后用编辑“/etc/ipsec.d/passwd”，内容为：

username:.z2I2VoRCNOZI

冒号前是用户名，冒号后是加密后的密码，读者需要自己在最后加上连接名称：

username:.z2I2VoRCNOZI:e63

我自己在“/etc/”中添加了如下NAT和转发设置（我对这部分比前面的内容更没有把握，请有经验的读者自行修正）：

echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/lo/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

echo 0 > /proc/sys/net/ipv4/conf/default/accept_redirects

echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects

echo 0 > /proc/sys/net/ipv4/conf/lo/accept_redirects

echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -t nat -A POSTROUTING -s 192.168.6.0/24 -o eth0 -j SNAT –to

47.117.26.212 <- 你自己的外网IP

重启VPS让所有的改动生效（或者运行“sudo /etc/init.d/ipsec restart”及其它命令）。然后用

sudo /usr/sbin/ipsec verify

命令检查IPSec服务的状态是否正常，应返回如下信息：

Checking your system to see if IPsec got installed and started correctly:

Version check and ipsec on-path [OK]

Linux Openswan U2.6.24rc5/5xen (netkey)

Checking for IPsec support in kernel [OK]

Testing against enforced SElinux mode [OK]

NETKEY detected, testing for disabled ICMP send_redirects [OK]

NETKEY detected, testing for disabled ICMP accept_redirects [OK]

Checking for RSA private key (/etc/s) [OK]

Checking that pluto is running [OK]

Pluto listening for IKE on udp 500 [OK]

Pluto listening for NAT-T on udp 4500 [OK]

Two or more interfaces found, checking IP forwarding [OK]

Checking NAT and MASQUERADEing

Checking for „ip‟ command [OK]

Checking for „iptables‟ command [OK]

Opportunistic Encryption Support [DISABLED]

以上为OpenSwan的安装设置部分，下面该讲手机端的VPN规则生成了。我最初参考了英文文献一、文献二和文献三（对这篇文章的内容有疑问的读者可自行查询这些文献），在前两篇参考资料中，提到的VPN规则的生成方式还是用makesis生成sis/sisx安装文件的复杂过程。幸好新的mVPN V3.1和V4都支持第三篇文献中简单的多的.vpn文件导入了。VPN规则实际由两个文件组成，一个是，内容为：

[POLICYNAME]

VPN Beta

[POLICYDESCRIPTION]

VPN Beta

[POLICYVERSION]

1.1

[ISSUERNAME]

Do not edit

[CONTACTINFO]

Do not edit

实际上只是一个简单的规则标识，并不牵涉实际的配置问题。而真正的设置是存在文件中，其内容如下：

SECURITY_FILE_VERSION: 3

[INFO]

VPN

[POLICY]

sa ipsec_1 = {

esp

encrypt_alg 12

max_encrypt_bits 256

auth_alg 3

identity_remote 0.0.0.0/0

src_specific

hard_lifetime_bytes 0

hard_lifetime_addtime 3600

hard_lifetime_usetime 3600

soft_lifetime_bytes 0

soft_lifetime_addtime 3600

soft_lifetime_usetime 3600

}

remote 0.0.0.0 0.0.0.0 = { ipsec_1(IPSec VPN服务器地址) }

inbound = { }

outbound = { }

[IKE]

ADDR: IPSec VPN服务器地址 255.255.255.255

MODE: Main

SEND_NOTIFICATION: TRUE

ID_TYPE: 11

FQDN: MobileGroup

GROUP_DESCRIPTION_II: MODP_1536

USE_COMMIT: FALSE

IPSEC_EXPIRE: FALSE

SEND_CERT: FALSE

INITIAL_CONTACT: FALSE

RESPONDER_LIFETIME: TRUE

REPLAY_STATUS: TRUE

USE_INTERNAL_ADDR: FALSE

USE_NAT_PROBE: FALSE

DNS_SERVER: 8.8.8.8 <- DNS服务器的IP地址

ESP_UDP_PORT: 0

NAT_KEEPALIVE: 60

USE_XAUTH: TRUE

USE_MODE_CFG: TRUE

REKEYING_THRESHOLD: 90

PROPOSALS: 1

ENC_ALG: AES256-CBC

AUTH_METHOD: PRE-SHARED

HASH_ALG: SHA1

GROUP_DESCRIPTION: MODP_1536

GROUP_TYPE: DEFAULT

LIFETIME_KBYTES: 0

LIFETIME_SECONDS: 28800

PRF: NONE

PRESHARED_KEYS:

FORMAT: STRING_FORMAT

KEY: 24 StringUsedAsPreSharedKey <- 前面是密钥的长度，后面是作为密钥的字符串本身

里面的参数绝大部分和OpenSwan的设置是对应的，也就是说修改里面的某个参数一般意味着服务器端的修改。在前面提到的三篇英文参考文献中，都提到了需要给OpenSwan打补丁才能解决DNS推送的问题，不知道是OpenSwan还是mVPN客户端版本的问题，因为实际上VPN规则中可以用 “DNS_SERVER”这个参数（从另一篇参考文献中找到的）指定DNS服务器。

编辑好这两个文件后，压缩成一个zip文件，然后把后缀名从.zip改为.vpn，然后传到手机上就可以直接导入了——简单吧

然后按我写的前一篇文章中的步骤就可以在诺基亚塞班S60手机上使用该VPN了。连接成功后，VPN日志中会出现以下内容（日志中出现其它错误信息需要自己分析了）：

1:authenticated to vpn gateway IPSec VPN服务器地址, vpn access point VPN规则标识

2:infomation :address info for vpn access point VPN规则标识, virtual ip

192.168.6.252, local ip 运营商分配给手机的ip, nat status code 0

3:infomation :activated vpn access point VPN规则标识, ip address 192.168.6.252

如果一切顺利，你就可以用该VPN访问任何网站了。万一有网关无响应之类的问题，比如运营商分配给手机的ip是192.168或10.0之类的内网IP，而nat status code为0（应该是1），恭喜——你需要和我进入下一部分折腾了……

总结：诺基亚Symbian S60上的mVPN客户端可以支持用OpenSwan搭建的IPSec VPN，但过程还是有些麻烦的。除非你本身需要VPS做其它用途，或者干脆就喜欢折腾（本人二者兼是:D），单单需要使用VPN还是购买12vpn之类现成的服务合适：一个Xen VPS一般不低于6美元一个月，而12vpn的Lite账号平均一个月大概2美元，并且除非是用有>100M专线的独立服务器，否则自建VPN的速度是很难和专门的VPN服务商相比的。这也是我虽然可以用自建的VPN但还是买了12vpn账号的原因。

本文来自：/

WordPress模板中显示作者相关函数

BuyVM OpenVZ VPS Debian安装PPTP VPN

在诺基亚S60手机上使用VPN之一：原生客户端说明及12vpn评测

Debian/Ubuntu快速搭建PPTP VPN

Ubuntu系统下QQ农场等Flash程序中文无法显示的解决方法

Nokia, Symbian, VPN,

手机,

诺基亚

这是一篇早就打算要写的文章，但因为有一些技术细节始终没有解决好，所以一直迟迟没有动笔。最后我意识到这样下去，这篇文章不知道要到猴年马月才能写出来，而且12vpn推出了对诺基亚

S60手机原生VPN客户端的支持，完善我的教程的必要性也就不那么迫切了。我打算分三个部分写这个教程：

1. 诺基亚S60手机原生VPN客户端的使用说明和12vpn的评测，因为如果我一上来就把如何生成VPN策略文件和OpenSwan的配置摆上来，不需要知道这些的普通用户可能会被弄晕而产生用起来太复杂的错误印象；

2. 生成VPN策略文件和安装配置OpenSwan的教程。这个教程其实只是一个可以工作的范例，有些需要细调的高级设置我自己也没有弄清楚；

3. VPN策略文件和OpenSwan的高级设置问题，这是我目前还在折腾的部分。

下面是诺基亚S60手机原生VPN客户端的使用说明及12vpn评测：

看到过不少诺基亚S60上没有可用VPN客户端的观点，但事实上诺基亚S60手机上原生的Mobile

VPN客户端只是不支持常见的PPTP协议（第三方软件SymVPN支持PPTP，但正版价格超过二十美元，而破解版绝大多数都不好用），而是支持 IPSec VPN。另一种观点是诺基亚S60手机原生VPN用户端太复杂，普通用户很难搞定。这种看法也对也不对，VPN策略文件的生成确实比较复杂，但这是系统管理员的工作，普通用户只需要把系统管理员发给他们的VPN策略文件安装到手机上，简单设置一下就可以用了。实际上iPhone/iPod Touch常用的L2TP VPN很多也是基于IPSec的，12vpn提供给S60用户的配置方式看起来并不比iPhone/iPod Touch复杂。

诺基亚S60手机原生的Mobile VPN客户端并不需要用户自己设置VPN服务器地址、用户名和密码（额外使用了Xauth验证的是另一回事），这些都是在VPN规则中定义好的。mVPN 客户端中有一个设置规则服务器的选项，这是用于把VPN规则推送到手机上的，需要在服务器端安装诺基亚专门的软件，这种方式很少有人用，用户可以从本地安装VPN策略文件而完全不去管这个选项。VPN策略文件早些是以sis文件形式提供的，像普通软件一样安装。但目前mVPN V3.1和V4都可以直接导入.vpn文件。

下面的使用说明参考了12vpn针对S60V5上的mVPN V4英文介绍：

1. 用户首先需要安装mVPN客户端，V3.1（针对S60V3 FP1）在此下载，V4（针对S60V3 FP2和S60V5）在此下载；

2. 从系统管理员那里得到.vpn（或.sis/.sisx）策略文件并传到手机上安装。IPSec VPN网管和客户端之间的验证主要有两种方式：PSK和X509证书。如果是PSK方式，VPN规则文件直接装上就可以用了；而X509证书是以 PKCS#12格式存储的，安装含有该证书的规则时会提示用户输入密码才能正确读取证书，这个密码是由提供VPN规则文件的系统管理员设置，比如 12vpn的证书密码一律是“import”〔不含引号〕。第一次导入证书的时候，手机会提示用户设置〔输入两次〕读取证书的密码，一定要牢记该密码，以后启动VPN连接的时候都要输入密码；新装含有X509证书的VPN规则后使用 mVPN V3.1的S60V3 FP1手机需要重启，需要重装VPN规则前，删除原来的规则和证书并重启机器。我不确定使用mVPN V4的S60V5和S60V3 Fp2手机是否同样需要如此，听说不用；

3. 使用WiFi的话要确认无线路由打开了VPN Passthrough的选项；

4. 手机上网需使用net连接而非wap（这一点我不确定，因为mVPN客户端中可以定义Proxy）；

5. S60V5等较新的手机上导入了VPN规则后会自动生成一个标记为IntraNet的VPN接入点，在浏览器等需要联网的程序出现接入点选择时使用该接入点即通过VPN上网；S60V3 FP1等较老的手机上需要自己通过“设置—>连接—>VPN（虚拟专网）—>VPN接入点—>选项—>新增接入点”用导入的VPN规则定义新的接入点。

6. IPSec VPN连接的初始化有点慢，大概要等半分钟的样子，之后就没有影响了。如果VPN规则

中使用X509证书，验证的时候手机会提示用户输入保存证书时设置的密码，使用PSK验证的则没有这一步。假如VPN规则和IPSec网关（二者是对应的）中设置了使用Xauth验证，则另外需要输入系统管理员在服务器上设置的用户名和密码。

7. 根据我自己的经验，如果设置了多个使用不同VPN规则的接入点，有可能会出现冲突。但这也许和个人手机和IPSec VPN的具体设置有关，只是一个在使用中出现问题的时候可以参考的可能性。

8. 另外一点是使用VPN的时候也留心一下DNS设置。诺基亚S60手机设置接入点的时候可以自定义DNS服务器地址，新的VPN规则参数中也有独立的选项。虽然似乎现在多数IPSec VPN网关也可以把DNS信息推送到手机上，但说不定某个时候问题会出在这个地方。

简而言之，诺基亚S60手机原生的VPN客户端的设置是通过VPN规则文件完成的，而该VPN规则和具体的IPSec VPN设置对应，应该都由系统管理员完成，而不需要普通用户操心。

之所以专门附上12vpn的评测，因为它是众多VPN服务商中我唯一知道提供了对诺基亚S60手机支持的。除了通常的PPTP外，它还支持OpenVPN、L2TP和IPSec（Cisco）从而保证了不同平台的用户都可以使用他们的服务。

和个人架设的VPN相比，在我看来12vpn有下面几个优势：

1. 他们在有多个的VPN服务器在不同的国家，这在用户需要特定地区的IP来使用某些服务，例如BBC iPlayer和Hulu等等，的时候会很必要；

2. 作为一个公司，他们有更多的资源提供客户支持。自己架设过VPN的网友很清楚要支持不同的平台和千差万别的网络（不同的运营商和防火墙）是一件相当负责的任务。即使12vpn自己刚放出诺基亚S60手机的VPN规则的时候，只能支持S60V5手机上的mVPN V4，而在S60V3手机上的mVPN V3.1中无法正常工作。我和另一个推友@nielspeen自己花了很多时间修改他们的VPN规则都未成功，最后还是12vpn过了一天自己更新了配置文件解决的。

但12vpn的Personal帐号比较贵（包年70美元，月付要9美元另加10美元的设置费。）其实他们还有便宜得多的Lite帐号没有放在主页上，不过只能包年（25美元，2010年2月底之前有10%的优惠），而且有每月10G的流量限制。还有推友觉得12vpn的速度一般，这是一个小马过河的问题，我自己觉得用12vpn看Hulu的速度还不错（稍有停顿，但似乎比hideipvpn快些，比我原来自己建的一个OpenVPN速度有明显提高）。

除了购买12vpn的服务外，喜欢折腾的网友还可以自己在VPS或专用主机上搭建IPSec VPN，不过这方面的内容要放到下一篇文章中了。没有条件自己折腾，又不打算购买12vpn，但想在诺基亚S60手机上使用VPN的网友，也可以联系我要帐号测试你的诺基亚S60手机在我的IPSec VPN上用起来是否让人满意，再决定是否购买付费服务。

本文来自：/

诺基亚智能手机格机详细教程技巧

主流智能手机操作系统和必备软件

Nokia, Symbian, VPN,

手机,

诺基亚

« Java手机社交网络应用整合软件Snaptu开始支持中文

在诺基亚S60手机上使用VPN之二：OpenSwan安装配置和VPN规则的生成 »

在诺基亚S60手机上使用VPN之一：原生客户端说明及12vpn评测。

这是一篇早就打算要写的文章，但因为有一些技术细节始终没有解决好，所以一直迟迟没有动笔。最后我意识到这样下去，这篇文章不知道要到猴年马月才能写出来，而且12vpn推出了对诺基亚S60手机原生VPN客户端的支持，完善我的教程的必要性也就不那么迫切了。我打算分三个部分写这个教程：

生成VPN策略文件和安装配置OpenSwan的教程。这个教程其实只是一个可以工作的范例，有些需要细调的高级设置我自己也没有弄清楚；

VPN策略文件和OpenSwan的高级设置问题，这是我目前还在折腾的部分。

下面是诺基亚S60手机原生VPN客户端的使用说明及12vpn评测：

看到过不少诺基亚S60上没有可用VPN客户端的观点，但事实上诺基亚S60手机上原生的Mobile VPN客户端只是不支持常见的PPTP协议（第三方软件SymVPN支持PPTP，但正版价格超过二十美元，而破解版绝大多数都不好用），而是支持IPSec VPN。另一种观点是诺基亚S60手机原生VPN用户端太复杂，普通用户很难搞定。这种看法也对也不对，VPN策略文件的生成确实比较复杂，但这是系统管理员的工作，普通用户只需要把系统管理员发给他们的VPN策略文件安装到手机上，简单设置一下就可以用了。实际上iPhone/iPod Touch常用的L2TP VPN很多也是基于IPSec的，12vpn提供给S60用户的配置方式看起来并不比iPhone/iPod Touch复杂。

诺基亚S60手机原生的Mobile VPN客户端并不需要用户自己设置VPN服务器地址、用户名和密码（额外使用了Xauth验证的是另一回事），这些都是在VPN规则中定义好的。mVPN客户端中有一个设置规则服务器的选项，这是用于把VPN规则推送到手机上的，需要在服务器端安装诺基亚专门的软件，这种方式很少有人用，用户可以从本地安装VPN策略文件而完全不去管这个选项。VPN策略文件早些是以sis文件形式提供的，像普通软件一样安装。但目前mVPN V3.1和V4都可以直接导入.vpn文件。

下面的使用说明参考了12vpn针对S60V5上的mVPN V4英文介绍：

用户首先需要安装mVPN客户端，V3.1（针对S60V3 FP1）在此下载，V4（针对S60V3 FP2和S60V5）在此下载；

从系统管理员那里得到.vpn（或.sis/.sisx）策略文件并传到手机上安装。IPSec VPN网管和客户端之间的验证主要有两种方式：PSK和X509证书。如果是PSK方式，VPN规则文件直接装上就可以用了；而X509证书是以PKCS#12格式存储的，安装含有该证书的规则时会提示用户输入密码才能正确读取证书，这个密码是由提供VPN规则文件的系统管理员设置，比如12vpn的证书密码一律是“import”〔不含引号〕。第一次导入证书的时候，手机会提示用户设置〔输入两次〕读取证书的密码，一定要牢记该密码，以后启动VPN连接的时候都要输入密码；新装含有X509证书的VPN规则后使用mVPN V3.1的S60V3 FP1手机需要重启，需要重装VPN规则前，删除原来的规则和证书并重启机器。我不确定使用mVPN V4的S60V5和S60V3 Fp2手机是否同样需要如此，听说不用；

使用WiFi的话要确认无线路由打开了VPN Passthrough的选项；

手机上网需使用net连接而非wap（这一点我不确定，因为mVPN客户端中可以定义Proxy）；

S60V5等较新的手机上导入了VPN规则后会自动生成一个标记为IntraNet的VPN接入点，在浏览器等需要联网的程序出现接入点选择时使用该接入点即通过VPN上网；S60V3 FP1等较老的手机上需要自己通过“设置—>连接—>VPN（虚拟专网）—>VPN接入点—>选项—>新增接入点”用导入的VPN规则定义新的接入点。

6. IPSec VPN连接的初始化有点慢，大概要等半分钟的样子，之后就没有影响了。如果VPN规则中使用X509证书，验证的时候手机会提示用户输入保存证书时设置的密码，使用PSK验证的则没有这一步。假如VPN规则和IPSec网关（二者是对应的）中设置了使用Xauth验证，则另外需要输入系统管理员在服务器上设置的用户名和密码。

根据我自己的经验，如果设置了多个使用不同VPN规则的接入点，有可能会出现冲突。但这也许和个人手机和IPSec VPN的具体设置有关，只是一个在使用中出现问题的时候可以参考的可能性。

另外一点是使用VPN的时候也留心一下DNS设置。诺基亚S60手机设置接入点的时候可以自定义DNS服务器地址，新的VPN规则参数中也有独立的选项。虽然似乎现在多数IPSec VPN网关也可以把DNS信息推送到手机上，但说不定某个时候问题会出在这个地方。

和个人架设的VPN相比，在我看来12vpn有下面几个优势：

他们在有多个的VPN服务器在不同的国家，这在用户需要特定地区的IP来使用某些服务，例如BBC iPlayer和Hulu等等，的时候会很必要；

作为一个公司，他们有更多的资源提供客户支持。自己架设过VPN的网友很清楚要支持不同的平台和千差万别的网络（不同的运营商和防火墙）是一件相当负责的任务。即使12vpn自己刚放出诺基亚S60手机的VPN规则的时候，只能支持S60V5手机上的mVPN V4，而在S60V3手机上的mVPN V3.1中无法正常工作。我和另一个推友@nielspeen自己花了很多时间修改他们的VPN规则都未成功，最后还是12vpn过了一天自己更新了配置文件解决的。



诺基亚塞班S60手机的vpn（内部网）功能简介

在诺基亚S60手机上使用VPN之二：OpenSwan安装配置和VPN规则的生成

Fring发布支持免费Skype网络视频电话的iPhone/iPod Touch版

诺基亚N900开始发货

Nokia出品的即时通讯软件Contacts on OVI

This entry was posted on 星期二, 二月 16th, 2010 at 3:10 上午 and is filed under VPN. You can follow any

responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

14 Responses to “在诺基亚S60手机上使用VPN之一：原生客户端说明及12vpn评测。”

1. Mike on 二月 17th, 2010 at 5:24 上午

much simplier to use SymVPN from

2. admin on 二月 17th, 2010 at 6:42 上午

我自己建的IPSec VPN目前还有NAT-T工作不正常的问题，所以移动运营商分配给手机的IP是192.168或10.0之类内网地址的情况下，会出现连上VPN服务器后网关无反应而又断开的现象，所以手机拿不到公网IP的网友等我解决了这个问题再要测试账号吧。

3. admin on 二月 17th, 2010 at 7:12 上午

Much simpler? I don’t think so. I tried both and some people also have problem to use

SymVPN.

Don’t forget mVPN is free and SymVPN cost 20USD+

4. 沧海 on 二月 17th, 2010 at 8:00 下午

您好，有没有办法做Craigslist的电话认证账户，希望您能给点指导。先谢谢您了

5. niels on 二月 18th, 2010 at 4:51 上午

Mike: the author has included a lot of technical details, as this is his personal interest. The

normal user however just installs the mVPN client and then the VPN profile from the provider

(e.g. 12vpn.)

The installation of mVPN vs SymVPN is no different. The configuration of mVPN is actually

easier than SymVPN as you don’t need to enter any server or login details manually. The

profile takes care of it all.

That said, the most compelling reason for using mVPN is that it uses IPSec+NAT-T(=mVPN)

which is less likely to be blocked than TCP+GRE (=PPTP=SymVPN.) The NAT-T extension of

IPSec makes it function very similar to OpenVPN: just sending UDP packets back and forth

over an unprivileged port.

6. admin on 二月 18th, 2010 at 6:29 上午

Niels Thanks for your explanation about the difference between mVPN and SymVPN.

7. admin on 二月 18th, 2010 at 6:31 上午

沧海：我根本不知道Craigslist的电话认证账户是什么……如果你是需要美国的电话号码完成某些验证，用IPKall的虚拟号加上SIP网络电话就可以了。

8. forcode on 五月 4th, 2010 at 8:28 下午

我昨天也购买了12vpn一个月的服务，但是手机配置总是失败，不知道问题出在哪里，我是nokia

5800xm，请指教。谢谢！

9. 终于折腾好E72的IPSec VPN - 不，完美星球！ on 六月 2nd, 2010 at 5:25 上午

[...] 在诺基亚S60手机上使用VPN之一：原生客户端说明及12vpn评测 [...]

10. 在诺基亚S60手机上使用VPN之一：原生客户端说明及12vpn评测 - 大海个人网站 on 十月

9th, 2010 at 9:13 下午

[...] 本文来自：/ [...]

11. Wu Li on 十月 12th, 2010 at 10:18 下午

Two months ago I have participated in beta testing of OpenVPN client prototype for Symbian.

It works okay on my Nokia 5800.

Nevertheless, I have noticed that OpenVPN as well as mVPN are significantly slower then

Symvpn.

For example, I can easily use Symvpn for VoIP and a voice quality is the same as without VPN,

but practically it is almost impossible to use mVPN or OpenVPN for VoIP.

Phone is fast enough, should not be a problem, it is Nokia 5800. I think that mVPN and

OpenVPN are more slower because they are using more security options.

All software versions are legal, latest and downloaded directly from developer web sites.

Symvpn is purchased full version, but right now it cost me nothing at all as I have saved more

money on phone calls during 4 months of using VoIP over VPN connection via Wi-Fi and 3G on

my phone.

I am writing it right now from my Nokia 5800 phone via VPN connection true Symvpn.

12. admin on 十月 13th, 2010 at 2:23 上午

谢谢你提供OpenVPN出了Symbian测试版的消息，请问能从哪里得到呢？我自己用mVPN打过VoIP电话，没发现有什么问题。我想你说的速度问题更多取决于手机VPN网关VoIP网关的延时吧？

13. iwannafly on 十月 19th, 2010 at 12:39 上午

愕麻烦问一下，我用S60V3 FP1和S60V5系统的手机都试过，那个.vpn文件如何导入手机中，我是把这个文件直接通过NOKIA的工具由PC上COPY到手机中，但是在S60V3中，新建接入点时，并没有用导入的VPN规则定义新的接入点一项

S60V5的手机，也没有自动生成接入点，我郁闷了

不过还是先谢谢博主的文章

14. admin on 十月 19th, 2010 at 1:21 上午

你没有装mVPN客户端吧？

Leave a Reply

Name (required)

Mail (will not be published) (required)

Website

2024年3月7日发(作者：纪芳芳)

测

Symbian、Android、iPhone和Windows Mobile所支持的VPN协议 »

在诺基亚S60手机上使用VPN之二：OpenSwan安装配置和VPN规则的生成

这一部分的读者对象是喜欢自己折腾而对VPS和VPN有一定配置经验的用户。只是想知道如何在诺基亚Symbian S60手机上使用VPN的读者请参看第一部分。

使用CentOS的用户可以用：

sudo yum install openswan

sudo wget

/download/binaries/centos/5/without-nss/openswan-2.6.24rc5-1.x86_

命令下载（32位OS用户请自行下载适用版本），用

sudo rpm -i openswan-2.6.24rc5-1.x86_

命令安装。Debian用户用

sudo apt-get install openswan

命令安装的是U2.4.12版，我没有测试过这个版本，因为在Debian下都是下载源码编译的，具体细节将在下一部分讲修改源码的时候介绍。

# /etc/ – Openswan IPsec configuration file

# Manual: .5

# Please place your own config files in /etc/ipsec.d/ ending in .conf

version 2.0

# conforms to second version of specification

# basic configuration

config setup

# Debug-logging controls: “none” for (almost) none, “all” for lots.

# klipsdebug=none

# plutodebug=”control parsing”

# For Red Hat Enterprise Linux and Fedora, leave protostack=netkey

protostack=netkey

nat_traversal=yes

interfaces=%defaultroute

virtual_private=%v4:192.168.0.0/16,%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:!192.168.0.0/24

oe=off

# Enable this if you see “failed to find any available worker”

nhelpers=0

#You may put your configuration (.conf) file in the “/etc/ipsec.d/” and

uncomment this.

include /etc/ipsec.d/*.conf

全局验证密钥“/etc/s”，内容如下：

include /etc/ipsec.d/*.secrets

连接配置“/etc/ipsec.d/”（可以有多个，名字不限，但这牵涉到高级设置中的问题了，本部分只以单一连接为例），内容如下：

conn e63

# Key exchange

ike=aes256-sha1-modp1536

# Data exchange

esp=aes256-sha1

# Authentication method PSK

authby=secret

auto=add

keyingtries=3

# Modeconfig setting

modecfgpull=yes

pfs=no

rekey=no

type=tunnel

compress=yes

# local endpoint

left=%defaultroute

leftsourceip=192.168.6.1

leftsubnet=0.0.0.0/0

leftrsasigkey=none

leftmodecfgserver=yes

leftxauthserver=yes

# remote endpoint

rightrsasigkey=none

right=%any

rightxauthclient=yes

rightmodecfgclient=yes

rightsourceip=192.168.6.252

rightsubnet=192.168.6.252/32

连接验证密钥“/etc/ipsec.d/s”，引号中为作为验证密钥的字符串：

: PSK “StringUsedAsPreSharedKey”

sudo umask 0027

sudo htpasswd -c -b passwd username1 password1

添加用户的命令为：

sudo htpasswd -b passwd username2 password2

然后用编辑“/etc/ipsec.d/passwd”，内容为：

username:.z2I2VoRCNOZI

冒号前是用户名，冒号后是加密后的密码，读者需要自己在最后加上连接名称：

username:.z2I2VoRCNOZI:e63

我自己在“/etc/”中添加了如下NAT和转发设置（我对这部分比前面的内容更没有把握，请有经验的读者自行修正）：

echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/lo/send_redirects

echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

echo 0 > /proc/sys/net/ipv4/conf/default/accept_redirects

echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects

echo 0 > /proc/sys/net/ipv4/conf/lo/accept_redirects

echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -t nat -A POSTROUTING -s 192.168.6.0/24 -o eth0 -j SNAT –to

47.117.26.212 <- 你自己的外网IP

重启VPS让所有的改动生效（或者运行“sudo /etc/init.d/ipsec restart”及其它命令）。然后用

sudo /usr/sbin/ipsec verify

命令检查IPSec服务的状态是否正常，应返回如下信息：

Checking your system to see if IPsec got installed and started correctly:

Version check and ipsec on-path [OK]

Linux Openswan U2.6.24rc5/5xen (netkey)

Checking for IPsec support in kernel [OK]

Testing against enforced SElinux mode [OK]

NETKEY detected, testing for disabled ICMP send_redirects [OK]

NETKEY detected, testing for disabled ICMP accept_redirects [OK]

Checking for RSA private key (/etc/s) [OK]

Checking that pluto is running [OK]

Pluto listening for IKE on udp 500 [OK]

Pluto listening for NAT-T on udp 4500 [OK]

Two or more interfaces found, checking IP forwarding [OK]

Checking NAT and MASQUERADEing

Checking for „ip‟ command [OK]

Checking for „iptables‟ command [OK]

Opportunistic Encryption Support [DISABLED]

[POLICYNAME]

VPN Beta

[POLICYDESCRIPTION]

VPN Beta

[POLICYVERSION]

1.1

[ISSUERNAME]

Do not edit

[CONTACTINFO]

Do not edit

实际上只是一个简单的规则标识，并不牵涉实际的配置问题。而真正的设置是存在文件中，其内容如下：

SECURITY_FILE_VERSION: 3

[INFO]

VPN

[POLICY]

sa ipsec_1 = {

esp

encrypt_alg 12

max_encrypt_bits 256

auth_alg 3

identity_remote 0.0.0.0/0

src_specific

hard_lifetime_bytes 0

hard_lifetime_addtime 3600

hard_lifetime_usetime 3600

soft_lifetime_bytes 0

soft_lifetime_addtime 3600

soft_lifetime_usetime 3600

}

remote 0.0.0.0 0.0.0.0 = { ipsec_1(IPSec VPN服务器地址) }

inbound = { }

outbound = { }

[IKE]

ADDR: IPSec VPN服务器地址 255.255.255.255

MODE: Main

SEND_NOTIFICATION: TRUE

ID_TYPE: 11

FQDN: MobileGroup

GROUP_DESCRIPTION_II: MODP_1536

USE_COMMIT: FALSE

IPSEC_EXPIRE: FALSE

SEND_CERT: FALSE

INITIAL_CONTACT: FALSE

RESPONDER_LIFETIME: TRUE

REPLAY_STATUS: TRUE

USE_INTERNAL_ADDR: FALSE

USE_NAT_PROBE: FALSE

DNS_SERVER: 8.8.8.8 <- DNS服务器的IP地址

ESP_UDP_PORT: 0

NAT_KEEPALIVE: 60

USE_XAUTH: TRUE

USE_MODE_CFG: TRUE

REKEYING_THRESHOLD: 90

PROPOSALS: 1

ENC_ALG: AES256-CBC

AUTH_METHOD: PRE-SHARED

HASH_ALG: SHA1

GROUP_DESCRIPTION: MODP_1536

GROUP_TYPE: DEFAULT

LIFETIME_KBYTES: 0

LIFETIME_SECONDS: 28800

PRF: NONE

PRESHARED_KEYS:

FORMAT: STRING_FORMAT

KEY: 24 StringUsedAsPreSharedKey <- 前面是密钥的长度，后面是作为密钥的字符串本身

编辑好这两个文件后，压缩成一个zip文件，然后把后缀名从.zip改为.vpn，然后传到手机上就可以直接导入了——简单吧

1:authenticated to vpn gateway IPSec VPN服务器地址, vpn access point VPN规则标识

2:infomation :address info for vpn access point VPN规则标识, virtual ip

192.168.6.252, local ip 运营商分配给手机的ip, nat status code 0

3:infomation :activated vpn access point VPN规则标识, ip address 192.168.6.252

本文来自：/

WordPress模板中显示作者相关函数

BuyVM OpenVZ VPS Debian安装PPTP VPN

在诺基亚S60手机上使用VPN之一：原生客户端说明及12vpn评测

Debian/Ubuntu快速搭建PPTP VPN

Ubuntu系统下QQ农场等Flash程序中文无法显示的解决方法

Nokia, Symbian, VPN,

手机,

诺基亚

S60手机原生VPN客户端的支持，完善我的教程的必要性也就不那么迫切了。我打算分三个部分写这个教程：

2. 生成VPN策略文件和安装配置OpenSwan的教程。这个教程其实只是一个可以工作的范例，有些需要细调的高级设置我自己也没有弄清楚；

3. VPN策略文件和OpenSwan的高级设置问题，这是我目前还在折腾的部分。

下面是诺基亚S60手机原生VPN客户端的使用说明及12vpn评测：

看到过不少诺基亚S60上没有可用VPN客户端的观点，但事实上诺基亚S60手机上原生的Mobile

下面的使用说明参考了12vpn针对S60V5上的mVPN V4英文介绍：

1. 用户首先需要安装mVPN客户端，V3.1（针对S60V3 FP1）在此下载，V4（针对S60V3 FP2和S60V5）在此下载；

3. 使用WiFi的话要确认无线路由打开了VPN Passthrough的选项；

4. 手机上网需使用net连接而非wap（这一点我不确定，因为mVPN客户端中可以定义Proxy）；

6. IPSec VPN连接的初始化有点慢，大概要等半分钟的样子，之后就没有影响了。如果VPN规则

和个人架设的VPN相比，在我看来12vpn有下面几个优势：

1. 他们在有多个的VPN服务器在不同的国家，这在用户需要特定地区的IP来使用某些服务，例如BBC iPlayer和Hulu等等，的时候会很必要；

本文来自：/

诺基亚智能手机格机详细教程技巧

主流智能手机操作系统和必备软件

Nokia, Symbian, VPN,

手机,

诺基亚

« Java手机社交网络应用整合软件Snaptu开始支持中文

在诺基亚S60手机上使用VPN之二：OpenSwan安装配置和VPN规则的生成 »

在诺基亚S60手机上使用VPN之一：原生客户端说明及12vpn评测。

生成VPN策略文件和安装配置OpenSwan的教程。这个教程其实只是一个可以工作的范例，有些需要细调的高级设置我自己也没有弄清楚；

VPN策略文件和OpenSwan的高级设置问题，这是我目前还在折腾的部分。

下面是诺基亚S60手机原生VPN客户端的使用说明及12vpn评测：

诺基亚S60手机原生的Mobile VPN客户端并不需要用户自己设置VPN服务器地址、用户名和密码（额外使用了Xauth验证的是另一回事），这些都是在VPN规则中定义好的。mVPN客户端中有一个设置规则服务器的选项，这是用于把VPN规则推送到手机上的，需要在服务器端安装诺基亚专门的软件，这种方式很少有人用，用户可以从本地安装VPN策略文件而完全不去管这个选项。VPN策略文件早些是以sis文件形式提供的，像普通软件一样安装。但目前mVPN V3.1和V4都可以直接导入.vpn文件。

下面的使用说明参考了12vpn针对S60V5上的mVPN V4英文介绍：

用户首先需要安装mVPN客户端，V3.1（针对S60V3 FP1）在此下载，V4（针对S60V3 FP2和S60V5）在此下载；

使用WiFi的话要确认无线路由打开了VPN Passthrough的选项；

手机上网需使用net连接而非wap（这一点我不确定，因为mVPN客户端中可以定义Proxy）；

和个人架设的VPN相比，在我看来12vpn有下面几个优势：

他们在有多个的VPN服务器在不同的国家，这在用户需要特定地区的IP来使用某些服务，例如BBC iPlayer和Hulu等等，的时候会很必要；



诺基亚塞班S60手机的vpn（内部网）功能简介

在诺基亚S60手机上使用VPN之二：OpenSwan安装配置和VPN规则的生成

Fring发布支持免费Skype网络视频电话的iPhone/iPod Touch版

诺基亚N900开始发货

Nokia出品的即时通讯软件Contacts on OVI

This entry was posted on 星期二, 二月 16th, 2010 at 3:10 上午 and is filed under VPN. You can follow any

responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

14 Responses to “在诺基亚S60手机上使用VPN之一：原生客户端说明及12vpn评测。”

1. Mike on 二月 17th, 2010 at 5:24 上午

much simplier to use SymVPN from

2. admin on 二月 17th, 2010 at 6:42 上午

3. admin on 二月 17th, 2010 at 7:12 上午

Much simpler? I don’t think so. I tried both and some people also have problem to use

SymVPN.

Don’t forget mVPN is free and SymVPN cost 20USD+

4. 沧海 on 二月 17th, 2010 at 8:00 下午

您好，有没有办法做Craigslist的电话认证账户，希望您能给点指导。先谢谢您了

5. niels on 二月 18th, 2010 at 4:51 上午

Mike: the author has included a lot of technical details, as this is his personal interest. The

normal user however just installs the mVPN client and then the VPN profile from the provider

(e.g. 12vpn.)

The installation of mVPN vs SymVPN is no different. The configuration of mVPN is actually

easier than SymVPN as you don’t need to enter any server or login details manually. The

profile takes care of it all.

That said, the most compelling reason for using mVPN is that it uses IPSec+NAT-T(=mVPN)

which is less likely to be blocked than TCP+GRE (=PPTP=SymVPN.) The NAT-T extension of

IPSec makes it function very similar to OpenVPN: just sending UDP packets back and forth

over an unprivileged port.

6. admin on 二月 18th, 2010 at 6:29 上午

Niels Thanks for your explanation about the difference between mVPN and SymVPN.

7. admin on 二月 18th, 2010 at 6:31 上午

沧海：我根本不知道Craigslist的电话认证账户是什么……如果你是需要美国的电话号码完成某些验证，用IPKall的虚拟号加上SIP网络电话就可以了。

8. forcode on 五月 4th, 2010 at 8:28 下午

我昨天也购买了12vpn一个月的服务，但是手机配置总是失败，不知道问题出在哪里，我是nokia

5800xm，请指教。谢谢！

9. 终于折腾好E72的IPSec VPN - 不，完美星球！ on 六月 2nd, 2010 at 5:25 上午

[...] 在诺基亚S60手机上使用VPN之一：原生客户端说明及12vpn评测 [...]

10. 在诺基亚S60手机上使用VPN之一：原生客户端说明及12vpn评测 - 大海个人网站 on 十月

9th, 2010 at 9:13 下午

[...] 本文来自：/ [...]

11. Wu Li on 十月 12th, 2010 at 10:18 下午

Two months ago I have participated in beta testing of OpenVPN client prototype for Symbian.

It works okay on my Nokia 5800.

Nevertheless, I have noticed that OpenVPN as well as mVPN are significantly slower then

Symvpn.

For example, I can easily use Symvpn for VoIP and a voice quality is the same as without VPN,

but practically it is almost impossible to use mVPN or OpenVPN for VoIP.

Phone is fast enough, should not be a problem, it is Nokia 5800. I think that mVPN and

OpenVPN are more slower because they are using more security options.

All software versions are legal, latest and downloaded directly from developer web sites.

Symvpn is purchased full version, but right now it cost me nothing at all as I have saved more

money on phone calls during 4 months of using VoIP over VPN connection via Wi-Fi and 3G on

my phone.

I am writing it right now from my Nokia 5800 phone via VPN connection true Symvpn.

12. admin on 十月 13th, 2010 at 2:23 上午

13. iwannafly on 十月 19th, 2010 at 12:39 上午

S60V5的手机，也没有自动生成接入点，我郁闷了

不过还是先谢谢博主的文章

14. admin on 十月 19th, 2010 at 1:21 上午

你没有装mVPN客户端吧？

USB迷 | 专注于互联网分享

OpenSwan安装配置和VPN规则的生成

与本文相关的文章

评论列表 (0)