Konfiguration von Cisco IPsec VPN für Apple-Geräte
Orientiere dich an den folgenden Informationen, um deinen Cisco VPN-Server für die Verwendung mit iOS, iPadOS und macOS zu konfigurieren, die Unterstützung für die Cisco Netzwerk-Firewalls der Adaptive Security Appliance 5500 Serie und Private Internet Exchange bieten. Sie unterstützen außerdem Cisco IOS VPN-Router mit IOS-Version 12.4(15)T oder neuer. VPN 3000 Series-Konzentratoren unterstützen keine VPN-Eigenschaften.
Authentifizierungsmethoden
iOS, iPadOS und macOS unterstützen die folgenden Authentifizierungsmethoden:
IPsec-Authentifizierung mit Preshared-Schlüssel und einer Benutzerauthentifizierung über den
xauth-Befehl.Client- und Serverzertifikate für die IPsec-Authentifizierung mit optionaler Benutzerauthentifizierung mit
xauth.Hybrid-Authentifizierung, bei der vom Server ein Zertifikat und vom Client ein Preshared-Schlüssel für die IPsec-Authentifizierung bereitgestellt wird. Die Benutzerauthentifizierung ist vorausgesetzt. Sie wird per
xauth, einschließlich dem Namen und Passwort der Authentifizierungsmethode, und RSA SecurID bereitgestellt.
Authentifizierungsgruppen
Das Cisco Unity-Protokoll verwendet Authentifizierungsgruppen, um Benutzer basierend auf einer Reihe gemeinsamer Parameter zu gruppieren. Es empfiehlt sich, eine Authentifizierungsgruppe für die Benutzer erstellen. Bei einer Authentifizierung mit Preshared-Schlüssel und einer Hybrid-Authentifizierung muss der Gruppenname auf dem Gerät so konfiguriert werden, dass der Preshared-Schlüssel („Shared Secret“) der Gruppe als Passwort für die Gruppe verwendet wird.
Bei der Verwendung der Zertifikatauthentifizierung wird kein Schlüssel („Shared Secret“) verwendet. Die Gruppe eines Benutzers ergibt sich aus Feldern des Zertifikats. Mithilfe der Cisco-Servereinstellungen lassen sich Felder eines Zertifikats Benutzergruppen zuweisen.
RSA-Sig muss die höchste Priorität auf der ISAKMP-Prioritätenliste (Internet Security Association and Key Management Protocol) haben.
IPsec-Einstellungen und -Beschreibungen
Du kannst diese Einstellungen angeben, um zu definieren, wie IPsec implementiert wird:
Modus: Tunnel-Modus.
IKE Exchange Modes: „Aggressive Mode“ für die Authentifizierung mit Preshared-Schlüssel und für die Hybrid-Authentifizierung oder „Main Mode“ für die Zertifikatauthentifizierung.
Encryption Algorithms: 3DES, AES-128 oder AES256.
Authentication Algorithms: HMAC-MD5 oder HMAC-SHA1.
Diffie-Hellman-Gruppen: Group 2 ist für die Authentifizierung mit Preshared-Schlüssel und für die Hybrid-Authentifizierung erforderlich, Group 2 mit 3DES und AES-128 für die Zertifikatauthentifizierung und Group 2 oder 5 mit AES-256.
Perfect Forward Secrecy (PFS): Für Phase 2 des IKE-Protokolls gilt: Wird PFS verwendet, muss die Diffie-Hellman-Gruppe mit der in Phase 1 des IKE-Protokolls verwendeten Gruppe identisch sein.
Mode Configuration: Muss aktiviert sein.
Dead Peer Detection: Empfohlen.
Standard NAT Transversal: Unterstützt und kann aktiviert werden (IPsec over TCP wird nicht unterstützt).
Load Balancing: Unterstützt und kann aktiviert werden.
Re-keying of Phase 1: Derzeit nicht unterstützt. Es wird empfohlen, das Re-keying-Intervall für die erneute Aushandlung der Schlüssel auf eine Stunde einzustellen.
ASA Address Mask: Stelle sicher, dass alle Masken des Geräte-Adresspools entweder nicht festgelegt oder auf 255.255.255.255 eingestellt sind. Zum Beispiel:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.Wenn du die empfohlene Adressmaske verwendest, werden unter Umständen einige der von der VPN-Konfiguration angenommenen Routen ignoriert. Dies kann vermieden werden, indem du sicherstellst, dass die Routingtabelle alle erforderlichen Routen enthält, und indem du vor der Implementierung sicherstellst, dass die Teilnetzadressen zugänglich sind.
Programmversion: Die Softwareversion des Clients wird an den Server gesendet, sodass der Server Verbindungen basierend auf der Softwareversion des Geräts akzeptieren oder ablehnen kann.
Banner: Das Banner wird, sofern es auf dem Server konfiguriert ist, auf dem Gerät angezeigt, und der Benutzer muss es akzeptieren oder die Verbindung trennen.
Split Tunnel: Unterstützt.
Split DNS: Unterstützt.
Default Domain: Unterstützt.