安卓Android 12开始移除了PPTP和L2TP导致VPN配置很麻烦,目前只支持iKev2,所以就有了这个教程。
以下教程请只用于研究,请勿用于非法用途。
一、安装准备
1、RouterOS V7.18.2
2、小米手机K80
二、RouterOS配置IKEv2/IPSec PSK
1、使用Winbox进入到 IP -> IPSec,Groups 选项卡,点击+添加一个ikev2-groupName:ikev2-group
2、切换到 Mode Configs 选项卡,点击+添加一个ikev2-cfg
Name:ikev2-cfg
Responder:勾选
address Pool:DHCP-VPN (注意:地址池pool可以先去 IP -> Pool 创建)
Address Prefix Length:24
Static DNS:10.1.0.1(RouterOS的网关地址)
3、切换到 Profiles 选项卡,点击+添加一个ikev2-profile
Name:ikev2-profile
Hash Algorithms:sha512
PRF Algorithms:auto
Encryption Algorithms:勾选aes-128、aes-192、aes-256
DH Group:勾选modp4096
Proposal Check:claim
4、切换到 proposal 选项卡,点击+添加一个ikev2-proposal
Name:ikev2-proposal
Auth. Algorithms:勾选sha512
Encr. Algorithms:勾选aes-128 cbc、aes-192 cbc、aes-256 cbc
FPS Group:modp4096
5、切换到 Policies 选项卡,点击+添加policy设置
Template:勾选
Group:ikev2-group(步骤1)
切换Action选项卡
Proposql:ikev2-proposal(步骤4)
6、切换到 Peers 选项卡,点击+添加一个ikev2-peer
Name:ikev2-peer
Profile:ikev2-profile(步骤3)
Exchange Mode:IKE2
Passive:勾选
7、切换到 Identities 选项卡,点击+添加Identity配置
Peer:ikev2-peer(步骤6)
Auth Method:pre shared key
Secert:自己设置密钥,如77bxkey
Policy Template Group:ikev2-group(步骤1)
My ID Type:fqdn
MyID:wj.77bx.com(routeros解析域名)
Mode Configuration:ikev2-cfg(步骤2)
Generate Policy:port strict
以下是routeros命令(需要把命令中的中文字改为自己的配置信息):
/ip ipsec policy group add name=ikev2-group /ip ipsec mode-config add address-pool=地址池 name=ikev2-cfg static-dns=网关 system-dns=no /ip ipsec profile add dh-group=modp4096 enc-algorithm=aes-256 hash-algorithm=sha512 name=ikev2-profile proposal-check=claim /ip ipsec proposal add auth-algorithms=sha512 name=ikev2-proposal pfs-group=modp4096 enc-algorithms=aes-128-cbc,aes-192-cbc,aes-256-cbc /ip ipsec policy add group=ikev2-group proposal=ikev2-proposal template=yes /ip ipsec peer add exchange-mode=ike2 name=ikev2-peer passive=yes profile=ikev2-profile /ip ipsec identity add generate-policy=port-strict mode-config=ikev2-cfg my-id=fqdn:域名 secret=密钥 peer=ikev2-peer policy-template-group=ikev2-group
三、手机VPN配置
1、设置 -> VPN ,点击 添加VPN,类型选择 IKEv2/IPSec PSK,服务器地址:wj.77bx.com,IPSec标识符:wj.77bx.com(identity配置的My ID),预共享密钥:77bxkey(identity配置Secert),保存点击连接即可。
目前有 10 条评论
mh 2026-02-22 17:032楼
小白表示完全看不懂,去抖音搜了一下知道真正难的是装RouterOS。另外博主是在手机上直接安装RouterOS和Winbox的吗?评论
星之宇 2026-02-22 17:07
routeros是路由系统,一般家里网关安装,手机不需要安装,手机自带的vpn服务,只是用vpn连接到家里访问相关服务。要玩routeros的安装也比较简单,和openwrt差不多的。回复
mh 2026-02-22 18:44
那如果手机在外面只能用流量上网,要怎么操作?回复
星之宇 2026-02-22 18:53
看你要实现什么?比如连接家里的NAS,监控什么的,可以使用品牌的APP就好,不一定要组网。回复
mh 2026-02-22 19:05
翻墙。。另外想问一下这个是不是可以用来自己搭梯子。想自己搭梯子。回复
星之宇 2026-02-22 19:11
这个具体没法说,禁止教这个,要学这个只能自己想办法。小白还是买成品好。回复
仙玉衡 2025-05-09 22:231楼
连是连上了,但是网不通,能指导下么?评论
星之宇 2025-05-11 18:03
连上了的话,可以看看路由,可能是没有静态路由导致无法上网的。回复
仙玉衡 2025-05-17 22:55
后来解决了,问了chatgpt,说policy应该有个不是template的自动生成的动态选项。然后重新新建了一次,就行了。不过还是不明白最开始为什么不行。笔记 <https://xyh.moe/index.php/archives/284/>回复
superwah 2025-10-14 23:33
应该是将policy中的Dst. Address改为DHCP pool规定的IP地址段就可以了,比如DHCP-VPN定义的是192.168.88.100-192.168.88.200,这里填192.168.88.0/24即可。回复