Configuration d’un VPN Cisco IPsec pour les appareils Apple
Utilisez cette section pour configurer votre serveur VPN Cisco dédié aux appareils iOS, iPadOS et macOS. Tous ces systèmes d’exploitation prennent en charge les coupe-feu réseau Cisco Adaptive Security Appliance 5500 et Private Internet Exchange. Ils prennent aussi en charge les routeurs VPN IOS de Cisco avec IOS 12.4(15)T ou une version ultérieure. Les concentrateurs série VPN 3000 ne prennent pas en charge les fonctionnalités VPN.
Méthodes d’authentification
iOS, iPadOS et macOS prennent en charge les méthodes d’authentification suivantes :
authentification IPsec par clé prépartagée avec authentification des utilisateurs au moyen de la commande
xauth;certificats client et serveur pour l’authentification IPsec avec authentification des utilisateurs facultative au moyen de la commande
xauth;authentification hybride où le serveur fournit un certificat et le client fournit une clé prépartagée pour l’authentification IPsec. L’authentification des utilisateurs est requise et fournie par
xauth, qui inclut le nom d’utilisateur et le mot de passe du mode d’authentification ainsi que le RSA SecurID.
Groupes d’authentification
Le protocole Cisco Unity utilise des groupes d’authentification pour regrouper les utilisateurs en fonction d’un jeu commun de paramètres. Il est recommandé de créer un groupe d’authentification pour les utilisateurs. Pour l’authentification hybride et par clé prépartagée, le nom du groupe doit être configuré sur l’appareil selon le secret partagé (clé prépartagée) comme mot de passe du groupe.
Lorsqu’on utilise un certificat d’authentification, il n’y a pas de secret partagé. Le groupe d’un utilisateur est déterminé à partir des champs du certificat. Les réglages du serveur Cisco peuvent être utilisés pour mettre en correspondance des champs du certificat avec des groupes d’utilisateurs.
RSA-Sig doit avoir la priorité la plus élevée sur la liste de priorité ISAKMP (protocole d’association de sécurité Internet et de gestion des clés).
Réglages et descriptions IPsec
Vous pouvez préciser ces réglages pour définir la méthode de mise en œuvre d’IPsec :
Mode : Mode tunnel.
Modes d’échange de clés par Internet : Mode agressif pour l’authentification par clé prépartagée et hybride ou mode principal pour l’authentification par certificat.
Algorithmes de chiffrement : 3DES, AES-128 ou AES256.
Algorithmes d’authentification : HMAC-MD5 ou HMAC-SHA1.
Groupes Diffie-Hellman : Le groupe 2 est nécessaire pour une clé prépartagée et l’authentification hybride, le groupe 2 avec 3DES et AES-128 pour l’authentification de certificat, et le groupe 2 ou 5 avec AES-256.
Perfect Forward Secrecy (PFS) : Échange de clés par Internet (IKE) phase 2, si PFS est utilisé, le groupe Diffie-Hellman doit être le même que celui qui était utilisé pour IKE phase 1.
Configuration du mode : Doit être activée.
Détection des pairs morts : Recommandé.
Transversal NAT normalisé : Non pris en charge et activable au besoin (IPsec sur TCP n’est pas pris en charge).
Équilibrage de la charge : Pris en charge et peut être activé.
Recomposition de la phase 1 : Pas prise en charge pour le moment. Il est recommandé de régler sur 1 heure les temps de recomposition sur le serveur.
Masque d’adresse ASA : Assurez-vous que le masque de réserve d’adresse de tous les appareils n’est pas défini ou qu’il est défini sur 255.255.255.255. Exemple :
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Si le masque d’adresse recommandé est utilisé, certaines routes utilisées par la configuration VPN sont susceptibles d’être ignorées. Pour éviter cela, assurez-vous que votre tableau de routage contient tous les parcours nécessaires et vérifiez que les adresses de sous-réseau sont accessibles avant le déploiement.
Version d’application : La version du logiciel client est envoyée au serveur, ce qui lui permet d’accepter ou de rejeter des connexions en fonction de la version du logiciel de l’appareil.
Bannière : La bannière, si elle est configurée sur le serveur, est affichée sur l’appareil et l’utilisateur doit l’accepter ou se déconnecter.
Séparation des flux : Pris en charge.
Split DNS : Pris en charge.
Domaine par défaut : Pris en charge.