Налаштування Cisco IPSec VPN для пристроїв Apple
Використовуйте цей розділ, щоб конфігурувати свій сервер Cisco VPN для пристроїв iOS, iPadOS і macOS, які підтримують мережеві брандмауери Cisco Adaptive Security Appliance 5500 Series і Private Internet Exchange. Вони також підтримують маршрутизатори Cisco IOS VPN з IOS 12.4(15)T або новішої версії. Концентратори серії VPN 3000 не підтримують VPN.
Методи автентифікації
Системи iOS, iPadOS і macOS підтримують такі методи автентифікації:
Автентифікація IPsec через спільний секрет з автентифікацією користувача через команду
xauth.Сертифікати клієнта й сервера для автентифікації IPSec з необов’язковою автентифікацією користувача через команду
xauth.Гібридна автентифікація: сервер надає сертифікат, а користувач — наперед визначений ключ для автентифікації IPsec. Автентифікація користувача необхідна і здійснюється через команду
xauth, яка містить ім’я користувача і пароль для способу автентифікації, а також RSA SecurID.
Групи автентифікації
Протокол Cisco Unity використовує групи автентифікації для групування користувачів за звичайними наборами параметрів. Потрібно створити групу автентифікації для користувачів. Для наперед визначеного ключа і гібридної автентифікації назва групи має бути конфігурована на пристрої зі спільним секретом групи (наперед визначений ключ) в якості пароля.
Якщо використовується автентифікація на основі сертифіката, спільного секрету немає. Група користувача визначається за полями сертифіката. Параметри сервера Cisco можна використовувати для зіставлення полів сертифіката і груп користувачів.
RSA-Sig має мати найвищий пріоритет у списку пріоритету протоколу ISAKMP.
Параметри IPsec та їхній опис
Визначити впровадження IPsec можна за допомогою таких параметрів:
Режим: Тунель.
Режими обміну IKE. Агресивний режим для наперед заданого ключа і гібридної автентифікації, головний режим для автентифікації на основі сертифіката.
Алгоритми шифрування. 3DES, AES-128 або AES256.
Алгоритми автентифікації. HMAC-MD5 або HMAC-SHA1.
Групи Діффі-Геллмана. Група 2 вимагається для наперед заданого ключа і гібридної автентифікації, група 2 з 3DES і AES-128 для автентифікації на основі сертифіката та група 2 або 5 для AES-256.
Блокування переадресації (PFS). Для фази 2 обміну IKE, якщо використовується PFS, група Діффі-Геллмана має бути такою ж, як для фази 1.
Конфігурація режиму. Має бути увімкнена.
Виявлення неактивних зʼєднань. Рекомендовано.
Стандартне проходження NAT. Підтримується й може бути увімкнене (IPsec через TCP не підтримується).
Балансування навантаження. Підтримується й може бути увімкнене.
Зміна ключа фази 1. Зараз не підтримується. Рекомендовано задати час зміни ключа шифрування на сервері на 1 годину.
Маска адреси ASA. Переконайтеся, що на всіх пристроях маски пулу адрес не задано або задано 255.255.255.255. Наприклад:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Якщо ви використовуєте рекомендовану маску адреси, деякі маршрути з конфігурації VPN можуть ігноруватися. Щоб уникнути цього, переконайтеся, що таблиця маршрутизації містить усі необхідні маршрути, а адреси підмережі доступні перед розгортанням.
Версія програми: версія програмного забезпечення клієнта надсилається на сервер, а сервер приймає або відхиляє з’єднання на основі версії програмного забезпечення пристрою.
Банер: на пристрої відобразиться банер (якщо сервер відповідно конфігуровано), і користувач має погодитися з умовами або від’єднатися.
Розділений тунель: підтримується.
Розділений DNS: підтримується.
Стандартний домен: підтримується.