ios9上有個ikev1，還有個ikev2，前文雖然支持ikev1，但是不支持ikev2，出於程序員的天性雜家覺得不得勁了。經過一番努力終於搞定了支持ikev2的配置方法。本文前提是基於前文使用鏈接的腳本成功跑通了ikev1. 因為個別vps上可能遇到麻煩，因為路由iptables的問題導致ikev1連不上，所以最好一步一步好。ikev1能連上的情況下，不用擔心路由的問題，只需修改/usr/local/etc/ipsec.conf文件里的以windows為標識的字段如下：

conn windows7
    keyexchange=ikev2
    ike=aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024!
    esp=aes256-sha256,3des-sha1,aes256-sha1!


    rekey=no
    left=%defaultroute
    leftid=yourip
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    leftcert=server.cert.pem


    right=%any
    rightauth=eap-mschapv2
    rightsourceip=10.31.2.0/24
    rightsendcert=never
    eap_identity=%any
    dpdaction=clear
    fragmentation=yes
    auto=add

幾點說明：

1，請將leftid 右邊的yourip換成自己的vps ip。 此處有人說寫域名，但是我的vps沒有綁定域名，有人說寫 CN即生成證書的Common Name，經我試驗都是扯淡。

2，關於conn windows7，這僅僅是個標識，后面的windows7可以換成任何民字。有終端連上后，ipsec status查到的會顯示終端是什么類型的，就對應這里的標簽。

3，配置的關鍵在前三句，即ike和esp這兩處，這里是支持win7，ios，OSX的。iOS支持的IKE為aes256-sha256-modp1024，OS X為3des-sha1-modp1024，Win7為aes256-sha1-modp1024。注意ESP的順序與IKE的一致。

4，配置里的left對應服務器端，right對應客戶端，rightauth務必寫eat-mschapv2, rightsendcert寫never.這樣就可以不用證書了。

5，rightsourceip后面的值要根據自己iptables而定，兩者要匹配。如果配置里使用的其他的ip范圍，此處與之保持一致即可。

6，ios9上的使用ikev2方法參考鏈接，即只需要輸入 服務器／遠程ID，用戶鑒定選擇“用戶名”，用戶名／密碼就ok了。服務器和遠程ID都寫vps的公網ip。

參考：

1，http://linsir.org/post/how_to_install_IPSec_IKEV2_base_on_strongswan_with_CentOS7

2，https://maskray.me/blog/2015-12-31-strongswan