No meu servidor Debian eu configurei o daemon do racoon (1: 0.8.0-14) para o Cisco IPSec VPN usando certificados para autenticação. Meu racoon.conf é como segue:
log info;
path certificate "/etc/racoon/certs";
listen {
isakmp $SERVER_IP_HERE [500];
isakmp_natt $SERVER_IP_HERE [4500];
}
timer {
natt_keepalive 10 sec;
}
remote anonymous {
lifetime time 24 hours;
proposal_check obey;
passive on;
exchange_mode aggressive,main;
my_identifier asn1dn;
peers_identifier asn1dn;
verify_identifier on;
certificate_type x509 "cert_name.crt" "key_name.key";
ca_type x509 "ca.crt";
mode_cfg on;
verify_cert on;
ike_frag on;
generate_policy on;
nat_traversal on;
dpd_delay 20;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method xauth_rsa_server;
dh_group modp1024;
}
}
mode_cfg {
conf_source local;
auth_source system;
auth_throttle 3;
save_passwd on;
dns4 8.8.8.8;
network4 $SOME_LAN_SUBNET;
netmask4 255.255.255.0;
pool_size 128;
}
sainfo anonymous {
pfs_group 2;
lifetime time 24 hour;
encryption_algorithm aes;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
Não estou usando autenticação PSK aqui. Usando o utilitário de configuração do iPhone, carreguei todos os certificados necessários para o iPhone e configurei a VPN sob demanda. Tudo funciona muito bem, exceto por uma coisa: o iPhone se recusa a salvar a senha da VPN, independentemente de save_passwd on; no arquivo de configuração do racoon. Ao contrário do comportamento do iPhone, o Mac OS X 10.8.2 não tem problemas em salvar senhas. Eu tinha examinado o arquivo de log do iPhone e encontrei o seguinte:
racoon[151] <Notice>: >>>>> phase change status = phase 1 established
configd[50] <Notice>: IPSec Network Configuration started.
configd[50] <Notice>: IPSec Network Configuration: INTERNAL-IP4-ADDRESS = $SUBNET_IP_HERE.
configd[50] <Notice>: IPSec Network Configuration: INTERNAL-IP4-MASK = 255.255.255.0.
configd[50] <Notice>: IPSec Network Configuration: SAVE-PASSWORD = 0.
configd[50] <Notice>: IPSec Network Configuration: INTERNAL-IP4-DNS = 8.8.8.8.
configd[50] <Notice>: IPSec Network Configuration: BANNER = .
configd[50] <Notice>: IPSec Network Configuration: DEF-DOMAIN = .
configd[50] <Notice>: IPSec Network Configuration: DEFAULT-ROUTE = local-address $SUBNET_IP_HERE/32.
configd[50] <Notice>: IPSec Phase2 starting.
configd[50] <Notice>: IPSec Network Configuration established.
configd[50] <Notice>: IPSec Phase1 established.
Por favor, observe a mensagem Configuração de Rede IPSec contendo SAVE-PASSWORD = 0. . É um bug no daemon racoon no servidor, ou iPhone (iOS versão 6.0.1 (10A523)) ou eu estou faltando alguma coisa? Como fazer o iPhone lembrar a senha VPN IPSec?