首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wuruxu
V2EX  ›  iPhone

通过 iOS 内置的 IKEv2 协议,轻松回家

  •   
  •   wuruxu · 5 天前 · 5677 次点击
    无须下载第三方软件,通过系统内置的 IKEv2, 连回家里的路由器
    只要家中的网络能访问,你的 iPhone 也可以
    配置中的本地 ID 可以是任何可读字符串,使用 swanctl -l 查看时,容易区别
    第 1 条附言  ·  5 天前
    目前所有的 Windows 和 MacOS 版本内置支持 IKEv2 协议
    前置要求:
    需要绑定一个子域名到你的路由器,同时在路由器上配置并运行 strongswan
    第 2 条附言  ·  5 天前

    Openwrt通过域名分流的dnsmasq的配置

    root@Openwrt:~# cat /etc/config/dhcp 
config dnsmasq
	option domainneeded '1'
	option boguspriv '1'
	option filterwin2k '0'
	option localise_queries '1'
	option rebind_protection '1'
	option rebind_localhost '1'
	option local '/lan/'
	option domain 'lan'
	option expandhosts '1'
	option nonegcache '0'
	option authoritative '1'
	option readethers '1'
	option leasefile '/tmp/dhcp.leases'
	option resolvfile '/tmp/resolv.conf.d/resolv.conf.auto'
	option nonwildcard '1'
	option localservice '1'
	list notinterface 'wan'
	list server '223.5.5.5'
	list server /dnsapi.cn/.cn/114.114.114.114
	list server /.ai/.rs/.goog/.win/.edu/.mx/.ton/.blog/.us/.run/.exchange/.moe/.gg/.online/.ca/.de/.tw/.fr/.org/.uk/.sg/.ru/.hk/.cc/.fb.com/.me/.ch/.ph/.gl/.coop/.be/.si/.jp/.tv/.co/.ly/.io/.top/8.8.8.8

config ipset
	list name 'wgset'
	list name 'wgset6'
	list domain '.rs'
	list domain '.ai'
	list domain '.goog'
	list domain '.win'
	list domain '.edu'
	list domain '.mx'
	list domain '.ton'
	list domain '.blog'
	list domain '.us'
	list domain '.run'
	list domain '.exchange'
	list domain '.moe'
	list domain '.gg'
	list domain '.online'
	list domain '.ca'
	list domain '.co'
	list domain '.de'
	list domain '.tw'
	list domain '.fr'
	list domain '.org'
	list domain '.uk'
	list domain '.sg'
	list domain '.hk'
	list domain '.io'
	list domain '.top'
	list domain '.cc'
	list domain '.fb.com'
	list domain '.me'
	list domain '.ch'
	list domain '.ph'
	list domain '.gl'
	list domain '.coop'
	list domain '.be'
	list domain '.ru'
	list domain '.si'
	list domain '.jp'
	list domain '.tv'
	list domain '.co'
	list domain '.ly'
	list domain '.so'
	list domain '.app'
    第 3 条附言  ·  4 天前
    Android 手机配置 VPN 的时候,需要选择 IKEv2/IPSec MSCHAPv2
    当然你也可以选择 strongswan Android Client
  • IKEv2
  • iOS
  • 路由器
    47 条回复    2025-07-02 09:01:18 +08:00
    Kaiyuan
        1
    Kaiyuan  
       5 天前 via iPhone
    这样是全局回家吧?
    wuruxu
        2
    wuruxu  
    OP
       5 天前
    @Kaiyuan 是全局回家
    所有的手机流量都会通过家里的路由器
    hackerfans
        3
    hackerfans  
       5 天前
    和 VPN 一个道理
    wuruxu
        4
    wuruxu  
    OP
       5 天前
    @hackerfans 是的 一个道理
    这种方法的优点
    1. 不需要下载第三方软件
    2. 内置协议性能上会比 Clash 之类用 go 写的软件好
    iluolSNS
        5
    iluolSNS  
       5 天前
    emm 刚才折腾了一下 用服务器搭建了服务器端 发现是全局 有办法分流吗
    wuruxu
        6
    wuruxu  
    OP
       5 天前
    @iluolSNS 在服务端或者路由器上,通过 dnsmasq 分流
    bigshawn
        7
    bigshawn  
       5 天前
    这个是全局,建议还是用代理软件分流一下比较好。
    wuruxu
        8
    wuruxu  
    OP
       5 天前
    @bigshawn 是的,只要把家里的路由器的 dnsmasq 配置成通过域名分流即可
    把 google youtube chatgpt 之类的域名分流到 wireguard interface
    coolcoffee
        9
    coolcoffee  
       5 天前
    我感觉 OP 的方案不适合现在的情况,现在最大的硬伤就是跨网跨省的上传限速,所以手机最好除了内网都不要走家里。
    Ealrang
        10
    Ealrang  
       5 天前
    是不是可以通过比如阿里云的公网服务器转发成外网服务了
    wuruxu
        11
    wuruxu  
    OP
       5 天前
    @coolcoffee 现在再差 也有 5MB/s
    我分享给 5 个同学用,现在路由器也是轻松应对
    关键是路由器要有公网地址
    wuruxu
        12
    wuruxu  
    OP
       5 天前
    @Ealrang 是的,可以的
    只是配置上会复杂一些,没有 OP 简单
    stephCurry
        13
    stephCurry  
       5 天前 via Android
    是不是需要家里有一台 ios 设备当 server/peer ,在外面使用 iPhone 连接这个 server/peer ,是这样的原理吗
    wuruxu
        14
    wuruxu  
    OP
       5 天前
    @stephCurry 不需要的
    只需要家里的路由器刷的是 OP ,然后配置 dnsmasq + strongswan
    hingle
        15
    hingle  
       5 天前
    除了不需要安装软件外,其他的都有点不太方便。

    我是用的 tailscale ,只有 DNS 和 fake-ip 先连回家,其他的直连。在家忘记关软件也不会有很大影响。
    wuruxu
        16
    wuruxu  
    OP
       5 天前
    @hingle 因为连的是家里的路由器,不管是在外面还是家里,时延很小的
    目前用下来,还是很方便的
    dufldylan1
        17
    dufldylan1  
       5 天前
    你这个最好的应用是在高校校园网内。宿舍部署个 ipv6 免流服务,整个学校直接 redirect 就好了。不过好像我直接把宿舍 ip 写到 gateway 里貌似也行?
    wuruxu
        18
    wuruxu  
    OP
       5 天前
    @dufldylan1 是的,同时也不需要切区域下 Apple Store 上的付费代理软件
    目前我主要用途就是连回家,访问家里电脑,还用家里的科学节点
    Kinnice
        19
    Kinnice  
       5 天前 via Android
    @wuruxu 2. 存疑,性能是不比那些协议好的你可以跑 benchmark 试一下,虽然在现代 cpu 上没什么区别。
    几个缺点:
    1. 500/udp 的跨网 qos 也难顶
    2. 国内上行太低+客户端无法分流 导致蜂窝 5G 直接变 4G-
    3. 大量用可能被运营商误判 pcdn ,被封宽带
    4. 需要宽带有公网,或者 1v1 穿透

    好处就是不用安装客户端,回家临时用一下还行

    其实有更舒服一点的选择,就是 anyconnect ,一个是可以客户端分流(基于 ip ),另外就是可以在国内下载到客户端
    wuruxu
        20
    wuruxu  
    OP
       5 天前
    @Kinnice 目前我用下来,还好,可能跟没有很多人用 有关系
    回家根本用不着,家里的 WIFI 直接就可以科学上网的
    folnet
        21
    folnet  
       5 天前
    strongswan 配上感兴趣流就可以分流了
    Socrazy
        22
    Socrazy  
       5 天前
    不能分流,意义不大,家里上行本来就小。
    用 QX/Surge 分流才是常规用法。
    x4gz
        23
    x4gz  
       5 天前 via iPhone
    @hingle 请问这个是怎么设置的呢 如果是 tailscale 的 exit node 也只能全局回家吧
    wuruxu
        24
    wuruxu  
    OP
       5 天前
    @Socrazy 目前 IKEv2 协议不支持域名分流的,只能在家里的 OP 上配置分流
    zro
        25
    zro  
       5 天前
    感觉我用 WireGuard 连回家比楼主的方案好些,设定好回家走哪几条路由,需要全局连海外 VPS 时就 0.0.0.0/0 ,家和 VPS 都配置好 AdGuard Home ,还可以过滤掉部分广告
    gux928
        26
    gux928  
       5 天前 via iPhone
    如果有扶墙的需求,只能在路由器上做分流?如果路由器不支持 clash 之类的咋个弄?
    wuruxu
        27
    wuruxu  
    OP
       5 天前
    @zro 这个方案主要是方便,一次配置,主流系统均内置支持
    遇到节点有问题,管理员可以 ssh 到 OP 用 wg 切节点
    wuruxu
        28
    wuruxu  
    OP
       5 天前
    @gux928 是的,在 OP 上 配置 dnsmasq + nft + wireguard 就可以做到分流和科学上网
    clash 用 go 写的代码,不太适合在 OP 上工作,带 GC 的也费内存,性能上更没法跟用 C 写的 wireguard 比
    sampeng
        29
    sampeng  
       5 天前 via iPhone
    首先要分清楚需求是什么,目标是回家访问家里的设备,还是流量都走家里。
    fanxasy
        30
    fanxasy  
       5 天前   ❤️ 2
    开启时所有流量全部回家并不实用,用 wireguard 或 ss 通过分流连回家是优解
    wuruxu
        31
    wuruxu  
    OP
       5 天前 via Android
    @fanxasy 这样的需求 只能通过 android strongswan 来实现
    fanxasy
        32
    fanxasy  
       5 天前
    @wuruxu #31 mihomo v2ray xray sing-box 太多内核软件可以实现了
    wuruxu
        33
    wuruxu  
    OP
       5 天前 via Android
    @fanxasy 这几个项目都是 Go 写的软件 一般情况下 C 语言写的我优先考虑
    fish3125
        34
    fish3125  
       5 天前
    所有流量走家里没什么问题,顺便过滤广告了,主要的问题是 udp 流量大了一段时间的时候会连不上。
    我之前用 wireguard 的 udp 经常遇见这个问题。
    后面换 openvpn 走 tcp 。
    ys0290
        35
    ys0290  
       5 天前 via iPhone
    全局的话手机比较容易发热
    hingle
        36
    hingle  
       5 天前
    @x4gz 我是把 tailscale 的 DNS 改为 N1 的地址,并且 N1 配置了 `--advertise-routes=198.18.0.0/15,fc00::/18`,没有设置为 exit node 。
    Ipsum
        37
    Ipsum  
       5 天前 via Android
    Udp 各种限流,还不如 ovpn 的 tcp
    titanium98118
        38
    titanium98118  
       5 天前 via Android
    ikev2 只能全局,断开后不能自动重连
    wuruxu
        39
    wuruxu  
    OP
       5 天前
    @titanium98118 开启 MOBIKE Support for Mobile VPN with IKEv2
    bao3
        40
    bao3  
       4 天前
    IKEv2 是可以下发路由的,在 strongswan 的配置里写上就行了,这个 10 年前就可以做到了。只要把自己家里宽带的 IP 段做了 split tunnel 下发就行了。可以实现其他路由仍然走手机本地网络。
基本上,IKEv2 已经没有折腾价值了。看过知道有客以回事就行了。
    wuruxu
        41
    wuruxu  
    OP
       4 天前
    @bao3 IKEv2 主要价值在于主流系统提供内置支持,不需要下载第三方代理软件
    wm5d8b
        42
    wm5d8b  
       4 天前 via Android
    @Ipsum 虽然 udp 被各种限流,但是 ovpn 容易被误判为 https 直接封端口
    Ipsum
        43
    Ipsum  
       4 天前
    @wm5d8b 用了 2 年了,还没被封端口,主要同城组网用。
    SakuraYuki
        44
    SakuraYuki  
       4 天前
    需要域名而且还要在家里路由器做分流,同样是 udp 我还是用 surge 回家方便点
    wuruxu
        45
    wuruxu  
    OP
       4 天前
    @SakuraYuki surge 价格不便宜,而且还要切区
    hjj0529
        46
    hjj0529  
       4 天前
    手机直接用 quanx 分流走 v2ray 回家
    ulpyxua
        47
    ulpyxua  
       2 天前
    几年前用过,息屏就断连,不方便
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1557 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 16:40 · PVG 00:40 · LAX 09:40 · JFK 12:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.